hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
22 października 2020

Przestępcy straszą… policją!

Kolejny dzień – kolejna socjotechniczna sztuczka przestępców. Tym razem do naszej CERTowej skrzynki trafił mail z Komendy Głównej Policji. Co więcej, podpisany przez nie byle kogo – samego komendanta (czy też, wg. nomenklatury użytej w wiadomości) „Inspektora Głównego Policji”.

Zaproszenie do aresztowania

My możemy sobie zażartować, bo dla wprawnego oka pachnie to na milę phishingiem. Jesteśmy jednak w stanie wyobrazić sobie ludzi, których taka wiadomość naprawdę bardzo zestresuje.

 

Na pierwszy rzut oka wygląda poważnie. Adres w domenie @policja.pl (swoją drogą jesteśmy bardzo zaskoczeni, że adres w tak kluczowej domenie da się zespoofować). Niektóry z Was mogłoby już na początku zadziwić konto notices@ – jeśli już, to z konta o angielskiej nazwie oczekiwalibyśmy maili w takimż języku.

„Dobry dzień” to też nie jest zwrot, używany w naszym języku, a połączenie pytania o zdrowie i bezpieczeństwo z „zaproszeniem” (i potencjalnym aresztowaniem) – nie wiemy jak u Was, ale u nas budzi spory dysonans. No i ciężko nam wyobrazić sobie organy ścigania informujące tak po prostu o zbliżającym się aresztowaniu…

A w załączniku RAT

Jak się domyślacie, kluczem jest załączony dokument. A w nim oczywiście nie ma żadne go zaproszenia. Po otwarciu pliku ISO (co ciekawe w naszym przypadku noszącego nazwę PKO.iso) i kliknięciu w zawarty w nim plik exe zainstalujemy na naszym komputerze trojana zdalnego dostępu (Remote Access Trojan, RAT) Remcos. Jego sposobowi działania szczegółowo przyglądaliśmy się już niemal półtora roku temu.

Analizowany przez nas egzemplarz usiłował zaciągnąć kolejny malware z Discorda (hxxps://cdn.discordapp.com/attachments/753120711077396523/766198991351447582/Xqqjbbb). To kolejny przypadek, gdy przestępcy sięgają po ogólnodostępne serwisy o wysokiej renomie, by hostować tam złośliwe treści. Akurat stamtąd malware zniknął zanim położyliśmy na nim nasze ręce i analizatory, ale inna odnaleziona próbka pomogła odnaleźć serwer C&C pod adresem storyofpadi.ddns.net.

Uważajcie na siebie. A jeśli dostaniecie mail, sprawiający wrażenie podszywania się pod policję, po prostu spytajcie domniemanego nadawcy. No i nie zaszkodzi jeśli wyślecie go nam, na cert.opl@orange.com. Pomożecie wtedy innym internautom.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także

20 listopada 2024
Quasar RAT z podszyciem pod PKO BP – analiza
Dowiedz się więcej
14 listopada 2024
Jak (nie) działają hacki do gier z Youtube’a?
Dowiedz się więcej
7 listopada 2024
(nie)Bezpieczna Sieć wraca!
Dowiedz się więcej
Masz ciekawą informację?
Poinformuj nas