Zaloguj się do usług
bezpieczeństwa
11 grudnia 2018
Groźny phishing na polskie banki!

Choć profil kampanii phishingowych powoli się zmienia, nabierając kierunku świątecznego, dzisiaj wpadło do nas kilka nowych "faktur do opłacenia". Jak można się domyślać, z fakturami nie ma to wiele wspólnego, a klikając w załącznik możemy wydać znacznie więcej pieniędzy, niż byśmy planowali. Co gorsza, analiza wskazuje, iż jest to kampania wyjątkowo groźna, bowiem wycelowana w klientów wielu polskich banków.

Adresy, z których trafiły do nas dzisiejsze próbki pochodziły z domeny @printcashmoney.com, opatrzonej polskojęzycznymi personaliami. Różniły się domenami i numerami faktur. Co się dzieje, jeśli nieopatrznie klikniemy w link i otworzymy załącznik w formacie ZIP? Wewnątrz spakowanego pliku zobaczymy kolejny, z rozszerzeniem VBS

Gdy (co niestety regularnie ma miejsce) weń klikniemy - zainstalujemy na komputerze kolejną wersję znanego już trojana bankowego Danabot. Przede wszystkim zapisuje on wciśnięte przyciski, modyfikuje certyfikaty systemy i w sposób niewidoczny dla użytkownika podmienia serwer proxy. Przeanalizowana próbka zawiera webinjecty do szeregu polskich banków i serwisów, związanych z handlem kryptowalutami:

  • hxxps://www.centrum24.pl/centrum24-web
  • hxxps://moj.raiffeisenpolbank.co* GP
  • hxxps://login.ingbank.pl/mojeing/
  • hxxps://www.neobank24.pl/ebank/st
  • hxxps://pocztowy24biznes.pl
  • hxxps://bittrex.com
  • hxxps://bitbay.ne
  • hxxps://poloniex.com
  • hxxps://ebusinessbank.db-pbc.pl/
  • hxxps://www.e25.pl/
  • hxxps://e-skok.pl/eskok/login
  • hxxps://secure.getinbank.pl
  • hxxps://secure.ideabank.pl
  • hxxps://e-bank.*agricole.pl
  • hxxps://bosbank24.pl/corpo_web/auth/login
  • hxxps://ibiznes24.pl
  • hxxps://plusbank24.pl/web-client/logi
  • hxxps://login.nestbank.pl/

To, iż powyżej nie widzimy wszystkich banków, absolutnie nie oznacza, że klienci pozostałych są bezpieczni! Złośliwe oprogramowanie może w dowolnej chwili "dociągnąć" dodatkowe elementy. Tzn. w przypadku sieci Orange Polska transmisja do elementów botnetu jest zablokowana. Jeśli chcesz zabezpieczyć również swoją sieć, zablokuj następujące IOC:

Linki z maili: hxxp://sandbox.highschool-game.com/ww9/lecture.html?email=52a12@71719, hxxp://wap.baimuda-zc.com/s04/domino2.php?email=ea10b@675ff

Ścieżka do "faktury": hxxps://goenvirogreen.net

Command&Control botnetu: hxxps://chemiomdsnipo.info


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl