hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
15 kwietnia 2025 07:47
(Aktualizacja: 12 maja 2025 11:38)

PKO BP na celowniku przestępców – nowa kampania Remcos RAT

Iwo Graj
analiza ekspert phishing
Dodaj do ulubionych źródeł w Google

Kampania phishingowa celowana w niemal 25% Polaków? Wystarczy podszyć się pod PKO BP, prowadzące blisko 9 milionów kont. Trafiło do Ciebie potwierdzenie przelewu? Upewnij się, czy to nie Remcos RAT!

Remcos RAT, najpopularniejszy szkodnik w naszej sieci, to tzw. trojan zdalnego dostępu (ang. Remote Access Trojan, RAT). Pozwala atakującemu na zdalne sterowanie i monitorowanie zainfekowanego systemu bez wiedzy użytkownika. Jego funkcje obejmują między innymi:

  • dostęp do systemu plików, umożliwiający kopiowanie, przenoszenie, usuwanie lub kradzież danych
  • zdalne wykonywanie poleceń i uruchamianie plików na zainfekowanym komputerze
  • rejestrowanie naciśnięć klawiszy i zbieranie haseł, co umożliwia kradzież danych uwierzytelniających i innych wrażliwych informacji
  • zbieranie zrzutów ekranu i obsługę kamery internetowej, co może służyć do monitorowania aktywności użytkownika i inwazji na prywatność

Dokładną techniczną analizę działania Remcos RAT znajdziesz tutaj.

Remcos regularnie trafia do CERT Orange Polska w formie kolejnych kampanii. Tym razem do polskich internautów dociera mail z tytułowego obrazka, podszywający się pod potwierdzenie przelewu.

Załącznik to faktycznie plik PDF, jednak po jego otwarciu zobaczymy… informację opatrzoną logo PKO BP z linkiem, sugerującym, że po jego kliknięciu otworzymy dwa dokumenty PDF.

Fałszywy dokument "od PKO BP" zawierający link do droppera.

W pliku ZIP znajdziemy dropper napisany w języku Visual Basic.

Po kliknięciu w link w PDF okazuje się, że to nie potwierdzenie przelewu z PKO BP tylko Remcos RAT.

Zawartość skryptu droppera zawierała przypadkowe niepotrzebne komentarze, by utrudnić analizę i odczyt samego pliku i jego funkcji:

Po usunięciu komentarzy sytuacja robi się znacznie bardziej czytelna:

Powyższy kod służy do uruchomienia zakodowanego skryptu Powershell. Przygotowuje on payload przy użyciu manipulacji łańcuchami. Obfuskacja zmiennych i dynamiczna rekonstrukcja komend mają na celu uniknięcie wykrycia przez programy antywirusowe. Poniższy kod to zbudowany payload na podstawie pliku Upstage.vbs:

Komunikacja sieciowa pobierająca złośliwy kod:

Pobrana binarka to Remcos RAT, komunikujący się z serwerem Command&Control jak poniżej:

Instalacja złośliwego payloadu podłącza ofiarę do botnetu CleanRem. Powiązana nazwą z botnetem domena odpowiedzialna za serwer Command&Control pojawiła się w analizach CERT Orange Polska po raz pierwszy.

Indicators of Compromise

Dropper: Upstage.vbs 6f8ceeecb814f3dd8e42ce8b1163d604
Remcos payload: hxxps://www.transparenciaquillota[.]cl/
Command&Control: finalrem.duckdns[.]org:52190

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

22 maja 2026
CERT Orange Polska na Festiwalu Gamingowym w Raciborzu: jak rozmawiać z młodzieżą o cyberzagrożeniach
Dowiedz się więcej
21 maja 2026
Homelab z pomocą LLM-a: wygoda, pułapki i lekcje z praktycznego eksperymentu
Dowiedz się więcej
15 maja 2026
Bezpieczniacy z całego świata Orange spotkali się w Paryżu
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas