Zaloguj się do usług
bezpieczeństwa
6 marca 2018
Phishing z bankerem Nymaim

Trojan bankowy (czyli wyspecjalizowany w wykradaniu danych autoryzacyjnych do serwisów bankowości elektronicznej) Nymaim to ostatnio jeden z popularniejszych "ładunków" trafiających do nas maili phishingowych. Kolejna kampania to klasyczny już socjotechniczny numer na "zaległą fakturę". Nadawca używa adresu w domenie @orange.pl (niezmiennie przypominamy, iż nasze faktury przychodzą wyłącznie z domeny @pl.orange.com).

Po otwarciu załączonego pliku XLS musimy zaakceptować włączenie makr (aż dziw, że po tylu latach wykorzystywania tego sposobu wciąż jeszcze ktoś się na to łapie), by w następnym kroku zagnieżdżony w excelowym pliku dropper ściągnął z adresu hxxp://farvictor.co/hqt plik exe, zapisując go na... pulpicie infekowanego komputera.

Następnie malware wstrzykuje się do C:\Program Files (x86)\Windows Media Player\WMPDMC.exe oraz Wmplayer.exe oraz dopisuje swój klucz w rejestrze Windows (HKEY_CURRENT_USER\Software\Microsoft\BZUI\qzbo). Na koniec następuje komunikacja znana już z poprzednich kampanii z Nymaimem - w nagłówku HOST pojawiają się domeny zepter.com i carfax.com, zaś faktyczne połączenia kierowane są pod adresy: 84.54.187.24, 176.223.180.238, 62.231.108.213, 92.81.118.230, 86.122.123.246, 85.105.167.110, 49.61.8.103.

Jak się zapewne domyślacie - klientów usług Orange Polska przed aktywnością przestępców chroni CyberTarcza. Ale nie przed infekcją - jeśli więc nie jesteście pewni, czy w którymś momencie nie zgubiła Was niefrasobliwość, warto sprawdzić swoją sieć.


Ostatnie aktualności

Masz ciekawą informację?

Poinformuj nas!

Zgłoś incydent

Załącz plik

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl