hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Kradnie bitcoiny, szykuje się do phishingu

Dziś do CERT Orange Polska trafił kolejny przypadek „faktury”, usiłującej przekonać nas do zainstalowania złośliwego oprogramowania. Tym razem przestępcy podszywają się pod firmę o dość popularnej nazwie, jednak – jak można się spodziewać – nie istniejącą pod podanym w e-mailu adresem. Tym razem nie dostajemy prosto do ręki złośliwego oprogramowania. W tym przypadku, kryjąc się za przerażających wielu skrótem RODO, przestępcy dają nam malware w linku.

Zawarty pod linkiem dokument po uruchomieniu robi całkiem sporo:

  • próbuje ukraść portfele bitcoinowe
  • wykrada dane logowania do serwerów FTP
  • instaluje keyloggera
  • ustawia proxy + instaluje certyfikat z hxxp://apps.identrust.com/roots/dstrootcax3.p7c
  • wysyła przy użyciu metody POST poniższą paczkę danych do hxxp://manstraight.com/api/new

00000000: 312c 312c 312c 312c 312c 312c 312c 312c  1,1,1,1,1,1,1,1,
00000010: 312c 7478 743b 6461 743b 7761 6c6c 6574  1,txt;dat;wallet
00000020: 3b32 6661 3b62 6163 6b75 703b 636f 6465  ;2fa;backup;code
00000030: 3b70 6173 7377 6f72 643b 6175 7468 3b67  ;password;auth;g
00000040: 6f6f 676c 653b 7574 633b 5554 433b 6372  oogle;utc;UTC;cr
00000050: 7970 743b 676f 6f67 6c65 3b6b 6579 3b2c  ypt;google;key;,
00000060: 3235 30                                  250

Na koniec zaś pobiera i wykonuje plik spod adresu hxxp://iipko.eu/imup.exe (forma domeny może wskazywać na przygotowanie pod kątem phishingu bankowego), komunikuje się też z adresem hxxp://140.82.57.249 na wysokim porcie 49649.

Powiązane z opisywanym oprogramowaniem adresy zostały już zablokowane dla klientów usług dostępu do internetu Orange Polska.