(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl

@CERT_OPL

Tweety od CERT Orange Polska

18 października 2021

Kampania Lokibota pod szyldem Ministerstwa Finansów

Oszuści znów podszywają się pod Ministerstwo Finansów! Tym razem, sugerując rozbieżności w ewidencji podatkowej, w całkiem sprytny sposóbv chcą przekonać nas do zainstalowania trojana/infostealera Lokibot.

Mimo iż wiele osób na pierwszy rzut oka zobaczy już tyle czerwonych flag, że przepełni im się bufor, dla wielu wystarczy logo Ministerstwa Finansów i charakterystyczna dla urzędów państwowych tarcza z godłem.

Dokument zawiera dwa załączniki:

Treść nie jest istotna, bowiem po otwarciu dowolnego z nich zobaczymy coś takiego:

Oczywiście kliknięcie odblokuje makra, a te wykorzystają znaną od dwóch lat podatność CVE-2017-11882 i zainstalują (jeśli nasze aplikacje są podatne) Lokibota.

Makro pobiera exe z adresu hxxp://192[.]3.13.11/00077000/vbc.exe, serwer Command&Control znajduje się pod adresem hxxp://63[.]250.40.204/~wpdemo/file.php?search=386869.

Kampania Lokibota pod szyldem Ministerstwa Finansów

Ostrzeżenia i aktualności

CERT Orange

Baza wiedzy

Inne