Zaloguj się do usług
bezpieczeństwa
26 czerwca 2020
Netwire w fałszywych mailach od PKO

W piątek rano dostaliśmy wiadomość od naszych partnerów w walce z sieciowym złem, serwisu Legalniewsieci.pl. Na ich firmową skrzynkę mailową trafiła dziwna wiadomość, co do której  wydawało się, iż pochodzi od PKO BP. Zawierała załącznik w formacie .xls – co w dzisiejszych czasach wydaje się mocno podejrzane. Jednak największy problem polega na tym, że wiadomość wydaje się pochodzić z prawdziwego adresu banku!

Fałszywa wiadomość zawiera załącznik w formacie .xls i być może łatwiej dalibyśmy się oszukać, gdyby nie błąd językowy w ostatnim zdaniu: „Proszę nie odpowiadać mu”. Prawdziwa wiadomość od PKO BP jest oczywiście napisana poprawnie i zawiera załącznik w formacie .pdf. Co łączy obie wiadomości? Adres nadawcy, potwierdzenie@ipko.pl. To mogłoby sugerować, że zarówno prawdziwa, jaki fałszywa wiadomość zostały wysłane z jednego adresu mailowego. Wystarczy jednak przyjrzeć się nagłówkom fałszywego e-maila (poniżej wybrane), by upewnić się, że adres banku został podstawiony przez przestępców. Wiadomość została wysłana przy użyciu serwera pocztowego położonego w Turcji, przy użyciu popularnego oprogramowania do wysyłki maili ze strony WWW (Roundcube Webmail), do szerszej grupy adresatów.

Return-Path: <potwierdzenie@ipko.pl>
Delivered-To: biuro@legalniewsieci.pl
Received: from server.asaloto.com.tr (server.asaloto.com.tr [178.211.50.154])
              by s2.ohmyhost.pl (Postfix) with ESMTPS id 36A4B641CE3E

              for <biuro@legalniewsieci.pl>; Thu, 25 Jun 2020 11:59:01 +0200 (CEST)
Received: from webmail.asaloto.com.tr (localhost [IPv6:::1])
              by server.asaloto.com.tr (Postfix) with ESMTPSA id B6CCAC0AFF02;
              Thu, 25 Jun 2020 12:49:36 +0300 (+03)
From: potwierdzenie@ipko.pl
To: undisclosed-recipients:;
Subject: Potwierdzenie operacji
User-Agent: Roundcube Webmail/1.4.3

W świetle powyższego analiza załączonego pliku xls była już tylko formalnością. To element nowej kampanii phishingowej, przesyłającej ofiary Netwire RAT. RAT, czyli Remote Access Trojan, to oprogramowanie umożliwiające przestępcy zdalny dostęp do zainfekowanego komputera i instalację dodatkowych złośliwych składników. W ostatnich tygodniach aktywność Netwire’a obserwowana jest w USA, gdzie dołączany jest do maili podszywających się pod tamtejszy urząd skarbowy (IRS). Na urządzeniach ofiar instaluje moduły keyloggera (odczytujące wciśnięte przyciski na klawiaturze) oraz usiłuje wykradać poświadczenia logowania do serwisów internetowych.


Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl