Infostealer Vidar znów w fałszywych fakturach!

Uważajcie, znów pojawiają się fałszywe faktury! Przestępcy na początku biorą na cel klientów Play, ale bazując na doświadczeniu mamy przeczucie, graniczące z pewnością, że kolejnym celem będą klienci Orange Polska.

Jak widać mamy do czynienia z klasycznym motywem, znanym od kilku lat. Mail w kolorystyce operatora, z domeny tym razem dobranej całkiem nieźle, z załącznikiem w postaci archiwum rar. Zabezpieczonego hasłem, po to, by systemy zabezpieczeń nie były w stanie zbadać go „w locie” i od razu oflagować maila jako niebezpiecznego. Co więcej, gdy próbka trafiła do nas, żaden z silników antywirusowych VirusTotala nie rozpoznawał załącznika jako złośliwego!

W środku archiwum znajduje się plik „faktura_0722_lnk”, pobierający plik docelowy spod adresu hxxps://transfer[.]sh/get/ElLboD/rr.exe. To infostealer Vidar (f7abde5760cde3e93fed6bd9efbbf7ea), wykradający szereg danych z urządzenia ofiary. Warto zwrócić uwagę, że komunikacja do serwerów Command&Control odbywa się za pośrednictwem botów w komunikatorach Telegram i Mastodon.

C2:
hxxps://t[.[me/tgch_hijuly
hxxps://c[.[im/@olegf9844h

Co zrobić?

Po pierwsze: jeśli dostaniesz mail od operatora, upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją (w przypadku Orange Polska maile przychodzą z adresu e-faktura@pl.orange.com)

Po drugie: jeśli mail zawiera zaszyfrowany plik, a w treści kod do jego odszyfrowania – usuń go bez czytania. To oszustwo.

Po trzecie: w przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek – upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach

Uważajcie, bądźcie bezpieczni, ostrzeżcie znajomych!