Biznes i Finanse
Kradnie bitcoiny, szykuje się do phishingu
Cyberprzestępcy, wykorzystując nowe przepisy prawne związane z RODO, wysyłają maile zawierające złośliwe oprogramowanie malware.
Do CERT Orange Polska trafił kolejny przypadek "faktury", usiłującej przekonać do zainstalowania złośliwego oprogramowania. Tym razem przestępcy podszywają się pod firmę o dość popularnej nazwie, jednak - jak można się spodziewać - nie istniejącą pod podanym w e-mailu adresem. Tym razem nie dostajemy prosto do ręki złośliwego oprogramowania. W tym przypadku, kryjąc się za przerażających wielu skrótem RODO, przestępcy dają nam malware w linku.
Zawarty pod linkiem dokument po uruchomieniu robi całkiem sporo:
- próbuje ukraść portfele bitcoinowe;
- wykrada dane logowania do serwerów FTP;
- instaluje keyloggera;
- ustawia proxy + instaluje certyfikat z hxxp://apps.identrust.com/roots/dstrootcax3.p7c;
- wysyła przy użyciu metody POST poniższą paczkę danych do hxxp://manstraight.com/api/new.
Na koniec zaś pobiera i wykonuje plik spod adresu hxxp://iipko.eu/imup.exe (forma domeny może wskazywać na przygotowanie pod kątem phishingu bankowego), komunikuje się też z adresem hxxp://140.82.57.249 na wysokim porcie 49649.
Powiązane z opisywanym oprogramowaniem adresy zostały już zablokowane dla klientów usług dostępu do internetu Orange Polska.
Źródło: CERT Orange Polska
Haertle: Każdego da się zhakować
Materiał sponsorowany