hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
18 lipca 2022

Infostealer Vidar znów w fałszywych fakturach!

Uważajcie, znów pojawiają się fałszywe faktury! Przestępcy na początku biorą na cel klientów Play, ale bazując na doświadczeniu mamy przeczucie, graniczące z pewnością, że kolejnym celem będą klienci Orange Polska.

Jak widać mamy do czynienia z klasycznym motywem, znanym od kilku lat. Mail w kolorystyce operatora, z domeny tym razem dobranej całkiem nieźle, z załącznikiem w postaci archiwum rar. Zabezpieczonego hasłem, po to, by systemy zabezpieczeń nie były w stanie zbadać go „w locie” i od razu oflagować maila jako niebezpiecznego. Co więcej, gdy próbka trafiła do nas, żaden z silników antywirusowych VirusTotala nie rozpoznawał załącznika jako złośliwego!

W środku archiwum znajduje się plik „faktura_0722_lnk”, pobierający plik docelowy spod adresu hxxps://transfer[.]sh/get/ElLboD/rr.exe. To infostealer Vidar (f7abde5760cde3e93fed6bd9efbbf7ea), wykradający szereg danych z urządzenia ofiary. Warto zwrócić uwagę, że komunikacja do serwerów Command&Control odbywa się za pośrednictwem botów w komunikatorach Telegram i Mastodon.

C2:
hxxps://t[.[me/tgch_hijuly
hxxps://c[.[im/@olegf9844h

Co zrobić?

Po pierwsze: jeśli dostaniesz mail od operatora, upewnij się, czy adres nadawcy zgadza się ze wcześniejszą korespondencją (w przypadku Orange Polska maile przychodzą z adresu e-faktura@pl.orange.com)

Po drugie: jeśli mail zawiera zaszyfrowany plik, a w treści kod do jego odszyfrowania – usuń go bez czytania. To oszustwo.

Po trzecie: w przypadku Orange Polska pamiętaj, że mail z fakturą zawiera tzw. strefę bezpieczeństwa. Zanim zrobisz cokolwiek – upewnij się, że jest tam Twoje imię i nazwisko oraz taki sam numer klienta, jak przy poprzednich mailach

Uważajcie, bądźcie bezpieczni, ostrzeżcie znajomych!

24 lipca 2025
To nie jest aktualizacja danych Orange
Dowiedz się więcej
16 lipca 2025
Fałszywa „refundacja z NFZ”
Dowiedz się więcej
8 lipca 2025
Oszuści podszywają się pod DHL – bądźcie ostrożni
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance