CERT Orange Polska ostrzega o kolejnym oszustwie, tym razem rozpoczynającym się od wiadomości SMS. Ktoś rozsyła SMS-y, w których podszywa się pod firmę Kamsoft zajmującą się oprogramowaniem. Treść wiadomości sugeruje, że konieczna jest aktualizacja, którą można pobrać pod podanym adresem. Jeśli użytkownik uwierzy, że link e-kamsoft[.]pl jest autentyczny, trafi na spreparowaną stronę internetową.
Przypomina ona do złudzenia prawdziwą stronę firmy Kamsoft. Użytkownik może stąd pobrać „aktualizację”, którą w praktyce jest spreparowany plik. Gdy złośliwe oprogramowanie trafi na komputer, będzie w stanie wykradać z niego prywatne dane ofiary. Jak ustalił CERT Orange Polska, domenę zarejestrowała 30 kwietnia osoba prywatna i kierują do niej dwa adresy IP. Utrzymywana jest w infrastrukturze Cloudflare.
– Atakujący przygotował prostą stronę, nie zawierającą niczego, co mogłoby łączyć ją z podobnymi atakami. Co więcej, domena została przez tydzień „wygrzana”, by systemy bezpieczeństwa nie zidentyfikowały jej jako nowej. Dodatkowo oszust zastosował niestandardowe certyfikaty SSL. Mówiąc wprost – nieco bardziej się tu napracował, by osiągnąć większą skuteczność – tłumaczy zespół CERT Orange Polska.
Fałszywe oprogramowanie, które rozpowszechniane jest w pobieranym pliku EXE to malware Vidar – znany infostealer, ostatnio wykorzystywany między innymi w styczniu bieżącego roku w nietypowym ataku związanym z rezerwacją hoteli przez Booking. Wykradane za jego pomocą dane są bezpośrednio przesyłane na serwer atakującego, który może zrobić z nich dalszy użytek.
Napisz komentarz
Komentarze