Kradnie bitcoiny, szykuje się do phishingu

9 listopada 2018, 14:46
phishing-3390518_960_720
Fot. Tumisu/Pixabay

Cyberprzestępcy, wykorzystując nowe przepisy prawne związane z RODO, wysyłają maile zawierające złośliwe oprogramowanie malware.

Do CERT Orange Polska trafił kolejny przypadek "faktury", usiłującej przekonać do zainstalowania złośliwego oprogramowania. Tym razem przestępcy podszywają się pod firmę o dość popularnej nazwie, jednak - jak można się spodziewać - nie istniejącą pod podanym w e-mailu adresem. Tym razem nie dostajemy prosto do ręki złośliwego oprogramowania. W tym przypadku, kryjąc się za przerażających wielu skrótem RODO, przestępcy dają nam malware w linku.

Zawarty pod linkiem dokument po uruchomieniu robi całkiem sporo:
- próbuje ukraść portfele bitcoinowe;
- wykrada dane logowania do serwerów FTP;
- instaluje keyloggera;
- ustawia proxy + instaluje certyfikat z hxxp://apps.identrust.com/roots/dstrootcax3.p7c;
- wysyła przy użyciu metody POST poniższą paczkę danych do hxxp://manstraight.com/api/new.

Na koniec zaś pobiera i wykonuje plik spod adresu hxxp://iipko.eu/imup.exe (forma domeny może wskazywać na przygotowanie pod kątem phishingu bankowego), komunikuje się też z adresem hxxp://140.82.57.249 na wysokim porcie 49649.

Powiązane z opisywanym oprogramowaniem adresy zostały już zablokowane dla klientów usług dostępu do internetu Orange Polska.

Źródło: CERT Orange Polska

CyberDefence24
CyberDefence24
KomentarzeLiczba komentarzy: 0
No results found.
Tweets CyberDefence24