Zaloguj się do usług
bezpieczeństwa
18 października 2021
Kampania Lokibota pod szyldem Ministerstwa Finansów

Oszuści znów podszywają się pod Ministerstwo Finansów! Tym razem, sugerując rozbieżności w ewidencji podatkowej, w całkiem sprytny sposóbv chcą przekonać nas do zainstalowania trojana/infostealera Lokibot.

Mimo iż wiele osób na pierwszy rzut oka zobaczy już tyle czerwonych flag, że przepełni im się bufor, dla wielu wystarczy logo Ministerstwa Finansów i charakterystyczna dla urzędów państwowych tarcza z godłem.

Dokument zawiera dwa załączniki:

Treść nie jest istotna, bowiem po otwarciu dowolnego z nich zobaczymy coś takiego:

Oczywiście kliknięcie odblokuje makra, a te wykorzystają znaną od dwóch lat podatność CVE-2017-11882 i zainstalują (jeśli nasze aplikacje są podatne) Lokibota.

Makro pobiera exe z adresu hxxp://192[.]3.13.11/00077000/vbc.exe, serwer Command&Control znajduje się pod adresem hxxp://63[.]250.40.204/~wpdemo/file.php?search=386869.


Ostatnie aktualności

Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl