Uważajcie, znów pojawiają się fałszywe faktury! Przestępcy na początku biorą na cel klientów Play, ale bazując na doświadczeniu mamy przeczucie, graniczące z pewnością, że kolejnym celem będą klienci Orange Polska.
Jak widać mamy do czynienia z klasycznym motywem, znanym od kilku lat. Mail w kolorystyce operatora, z domeny tym razem dobranej całkiem nieźle, z załącznikiem w postaci archiwum rar. Zabezpieczonego hasłem, po to, by systemy zabezpieczeń nie były w stanie zbadać go "w locie" i od razu oflagować maila jako niebezpiecznego. Co więcej, gdy próbka trafiła do nas, żaden z silników antywirusowych VirusTotala nie rozpoznawał załącznika jako złośliwego!
W środku archiwum znajduje się plik "faktura_0722_lnk", pobierający plik docelowy spod adresu hxxps://transfer[.]sh/get/ElLboD/rr.exe. To infostealer Vidar (f7abde5760cde3e93fed6bd9efbbf7ea), wykradający szereg danych z urządzenia ofiary. Warto zwrócić uwagę, że komunikacja do serwerów Command&Control odbywa się za pośrednictwem botów w komunikatorach Telegram i Mastodon.
C2:
hxxps://t[.[me/tgch_hijuly
hxxps://c[.[im/@olegf9844h
Po pierwsze: jeśli dostaniesz mail od operatora, upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją (w przypadku Orange Polska maile przychodzą z adresu e-faktura@pl.orange.com)
Po drugie: jeśli mail zawiera zaszyfrowany plik, a w treści kod do jego odszyfrowania - usuń go bez czytania. To oszustwo.
Po trzecie: w przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek - upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach
Uważajcie, bądźcie bezpieczni, ostrzeżcie znajomych!
2 sierpnia 2022
Nowy phishing na Pekao SA29 lipca 2022
Lech Wałęsa żyje! A Wy - nie logujcie się na coś, co nigdy nie było Facebookiem!20 lipca 2022
Fałszywe SMSy na "niedopłatę do faktury Orange"!Zgłoś incydent