Windows się wiesza, a potem znikają pieniądze. To nowy atak
Specjaliści od bezpieczeństwa z CERT Polska ostrzegają przed nową kampanią oszustów. Choć pozornie atak wykorzystuje dobrze znany scenariusz, to tym razem przestępcy wymyślili coś naprawdę groźnego.
Oszuści instalują niebezpieczny skrypt
Oszustwo wykorzystujące motyw problemu z dostarczeniem przesyłki przez firmę kurierką nie jest niczym nowym i pojawia się w raportach dotyczących bezpieczeństwa od paru dobrych lat. Zazwyczaj jednak w takich atakach chodzi o to, by nakłonić ofiarę do wejścia na fałszywą stronę banku (by uiścić „brakującą opłatę”) czy podanie numeru karty płatniczej. Takie sztuczki są już łatwe do rozpoznania i coraz trudniej kogoś na to złapać.
CERT Polska alarmuje jednak, że pojawił się nowy wariant tego ataku. Nie chodzi o wyłudzenie danych do logowania do konta bankowego, ale o coś znacznie groźniejszego. Kliknięcie w podejrzany załącznik powoduje zainstalowanie w komputerze niebezpiecznego skryptu.
Od kilku dni dostajemy dużo zgłoszeń wiadomości mailowych, w których oszuści podszywają się pod firmę kurierską i zachęcają do uruchomienia pliku z załącznika. Zamiast rzekomego dokumentu użytkownik pobiera skrypt, który po otwarciu instaluje się na urządzeniu
Główne funkcje zainstalowanego skryptu to wykradanie haseł do kont pocztowych oraz kopanie kryptowalut na zainfekowanym urządzeniu. Obydwa te zagrożenia wiążą się z poważnymi konsekwencjami. Wykradając hasła do kont pocztowych, przestępcy mogą podejmować próby wykradzenia kolejnych danych, na przykład przechwytując kody autoryzacji do innych kont, często wysyłane właśnie tą drogą. W rezultacie będą w stanie włamać się na konta wielu usług i dostawców, z których korzysta ofiara.
Kopanie kryptowalut w tle to również mało przyjemna sprawa – komputer ofiary będzie maksymalnie obciążany, przez co zwolni, a cała wykonywana przez maszynę praca zwiększy zyski oszustów. Mniej doświadczeni użytkownicy mogą nawet nie zauważyć, że w tle działa taki proces, zwalając wszystko na karb „starego komputera” albo „głupiego Windowsa”.
CERT Polska radzi, by w razie odebrania podejrzanego załącznika zawsze sprawdzać adres nadawcy, nie klikać automatycznie w linki i nie otwierać załączników, a w razie wątpliwości najlepiej zadzwonić do firmy, która rzekomo wysłała wiadomość. Należy się też przyglądać załącznikom, czy nie mają podwójnych rozszerzeń – np. plik PDF tak naprawdę kończy się rozszerzeniem „exe” lub „iso”, co uruchamia niebezpieczne procesy w tle. W razie odebrania podejrzanego mejla najlepiej przekazać go do weryfikacji ekspertów CERT Polska, przesyłając go na adres [email protected], a potem od razu go skasować ze swojej skrzynki.
