hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
15 kwietnia 2025

PKO BP na celowniku przestępców – nowa kampania Remcos RAT

#analiza #ekspert #phishing #remcos

Kampania phishingowa celowana w niemal 25% Polaków? Wystarczy podszyć się pod PKO BP, prowadzące blisko 9 milionów kont. Trafiło do Ciebie potwierdzenie przelewu? Upewnij się, czy to nie Remcos RAT!

Remcos RAT, najpopularniejszy szkodnik w naszej sieci, to tzw. trojan zdalnego dostępu (ang. Remote Access Trojan, RAT). Pozwala atakującemu na zdalne sterowanie i monitorowanie zainfekowanego systemu bez wiedzy użytkownika. Jego funkcje obejmują między innymi:

  • dostęp do systemu plików, umożliwiający kopiowanie, przenoszenie, usuwanie lub kradzież danych
  • zdalne wykonywanie poleceń i uruchamianie plików na zainfekowanym komputerze
  • rejestrowanie naciśnięć klawiszy i zbieranie haseł, co umożliwia kradzież danych uwierzytelniających i innych wrażliwych informacji
  • zbieranie zrzutów ekranu i obsługę kamery internetowej, co może służyć do monitorowania aktywności użytkownika i inwazji na prywatność

Dokładną techniczną analizę działania Remcos RAT znajdziesz tutaj.

Remcos regularnie trafia do CERT Orange Polska w formie kolejnych kampanii. Tym razem do polskich internautów dociera mail z tytułowego obrazka, podszywający się pod potwierdzenie przelewu.

Załącznik to faktycznie plik PDF, jednak po jego otwarciu zobaczymy… informację opatrzoną logo PKO BP z linkiem, sugerującym, że po jego kliknięciu otworzymy dwa dokumenty PDF.

Fałszywy dokument "od PKO BP" zawierający link do droppera.

W pliku ZIP znajdziemy dropper napisany w języku Visual Basic.

Po kliknięciu w link w PDF okazuje się, że to nie potwierdzenie przelewu z PKO BP tylko Remcos RAT.

Zawartość skryptu droppera zawierała przypadkowe niepotrzebne komentarze, by utrudnić analizę i odczyt samego pliku i jego funkcji:

Po usunięciu komentarzy sytuacja robi się znacznie bardziej czytelna:

Powyższy kod służy do uruchomienia zakodowanego skryptu Powershell. Przygotowuje on payload przy użyciu manipulacji łańcuchami. Obfuskacja zmiennych i dynamiczna rekonstrukcja komend mają na celu uniknięcie wykrycia przez programy antywirusowe. Poniższy kod to zbudowany payload na podstawie pliku Upstage.vbs:

Komunikacja sieciowa pobierająca złośliwy kod:

Pobrana binarka to Remcos RAT, komunikujący się z serwerem Command&Control jak poniżej:

Instalacja złośliwego payloadu podłącza ofiarę do botnetu CleanRem. Powiązana nazwą z botnetem domena odpowiedzialna za serwer Command&Control pojawiła się w analizach CERT Orange Polska po raz pierwszy.

Indicators of Compromise

Dropper: Upstage.vbs 6f8ceeecb814f3dd8e42ce8b1163d604
Remcos payload: hxxps://www.transparenciaquillota[.]cl/
Command&Control: finalrem.duckdns[.]org:52190

Iwo Graj

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

16 kwietnia 2025
Raport CERT Orange Polska 2024 już dostępny!
Dowiedz się więcej
2 kwietnia 2025
Nowe oszustwo na fałszywy sklep? To dlaczego paczka dotarła?
Dowiedz się więcej
28 marca 2025
Żądanie zaprzestania naruszenia praw autorskich? Nie, phishing.
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance