hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Groźny phishing na polskie banki!

Choć profil kampanii phishingowych powoli się zmienia, nabierając kierunku świątecznego, dzisiaj wpadło do nas kilka nowych „faktur do opłacenia”. Jak można się domyślać, z fakturami nie ma to wiele wspólnego, a klikając w załącznik możemy wydać znacznie więcej pieniędzy, niż byśmy planowali. Co gorsza, analiza wskazuje, iż jest to kampania wyjątkowo groźna, bowiem wycelowana w klientów wielu polskich banków.

Adresy, z których trafiły do nas dzisiejsze próbki pochodziły z domeny @printcashmoney.com, opatrzonej polskojęzycznymi personaliami. Różniły się domenami i numerami faktur. Co się dzieje, jeśli nieopatrznie klikniemy w link i otworzymy załącznik w formacie ZIP? Wewnątrz spakowanego pliku zobaczymy kolejny, z rozszerzeniem VBS

Gdy (co niestety regularnie ma miejsce) weń klikniemy – zainstalujemy na komputerze kolejną wersję znanego już trojana bankowego Danabot. Przede wszystkim zapisuje on wciśnięte przyciski, modyfikuje certyfikaty systemy i w sposób niewidoczny dla użytkownika podmienia serwer proxy. Przeanalizowana próbka zawiera webinjecty do szeregu polskich banków i serwisów, związanych z handlem kryptowalutami:

  • hxxps://www.centrum24.pl/centrum24-web
  • hxxps://moj.raiffeisenpolbank.co* GP
  • hxxps://login.ingbank.pl/mojeing/
  • hxxps://www.neobank24.pl/ebank/st
  • hxxps://pocztowy24biznes.pl
  • hxxps://bittrex.com
  • hxxps://bitbay.ne
  • hxxps://poloniex.com
  • hxxps://ebusinessbank.db-pbc.pl/
  • hxxps://www.e25.pl/
  • hxxps://e-skok.pl/eskok/login
  • hxxps://secure.getinbank.pl
  • hxxps://secure.ideabank.pl
  • hxxps://e-bank.*agricole.pl
  • hxxps://bosbank24.pl/corpo_web/auth/login
  • hxxps://ibiznes24.pl
  • hxxps://plusbank24.pl/web-client/logi
  • hxxps://login.nestbank.pl/

To, iż powyżej nie widzimy wszystkich banków, absolutnie nie oznacza, że klienci pozostałych są bezpieczni! Złośliwe oprogramowanie może w dowolnej chwili „dociągnąć” dodatkowe elementy. Tzn. w przypadku sieci Orange Polska transmisja do elementów botnetu jest zablokowana. Jeśli chcesz zabezpieczyć również swoją sieć, zablokuj następujące IOC:

Linki z maili: hxxp://sandbox.highschool-game.com/ww9/lecture.html?email=52a12@71719, hxxp://wap.baimuda-zc.com/s04/domino2.php?email=ea10b@675ff

Ścieżka do „faktury”: hxxps://goenvirogreen.net

Command&Control botnetu: hxxps://chemiomdsnipo.info


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także