Kampania Lokibota pod szyldem Ministerstwa Finansów
Oszuści znów podszywają się pod Ministerstwo Finansów! Tym razem, sugerując rozbieżności w ewidencji podatkowej, w całkiem sprytny sposóbv chcą przekonać nas do zainstalowania trojana/infostealera Lokibot.
Mimo iż wiele osób na pierwszy rzut oka zobaczy już tyle czerwonych flag, że przepełni im się bufor, dla wielu wystarczy logo Ministerstwa Finansów i charakterystyczna dla urzędów państwowych tarcza z godłem.
Dokument zawiera dwa załączniki:
Treść nie jest istotna, bowiem po otwarciu dowolnego z nich zobaczymy coś takiego:
Oczywiście kliknięcie odblokuje makra, a te wykorzystają znaną od dwóch lat podatność CVE-2017-11882 i zainstalują (jeśli nasze aplikacje są podatne) Lokibota.
Makro pobiera exe z adresu hxxp://192[.]3.13.11/00077000/vbc.exe, serwer Command&Control znajduje się pod adresem hxxp://63[.]250.40.204/~wpdemo/file.php?search=386869.