Użytkownicy Allegro i Booking.com znów zagrożeni

29-06-2014, 10:23

Mimo rosnącej świadomości użytkowników nadal za pomocą prostych, dostępnych w internecie narzędzi można stworzyć kampanię, która odniesie sukces. Najnowszym przykładem tego typu działań jest atak na użytkowników Allegro i Booking.com.

Tydzień temu informowaliśmy w Dzienniku Internautów o fali fałszywych e-maili do klientów polskich operatorów, takich jak Vectra i UPC. W tym samym czasie zespół CERT Polska zaobserwował inny atak polegający na podszywaniu się pod portal aukcyjny Allegro i stronę pozwalającą rezerwować pokoje hotelowe Booking.com.

Potencjalne ofiary otrzymywały spersonalizowane e-maile z informacją o zablokowaniu konta w serwisie z powodu "nieuregulowanych opłat" albo "umieszczania w opisie Twojej aukcji treści niezgodnych z regulaminem Allegro". Poniżej można zobaczyć przykładowy e-mail:

Przykładowy e-mail rzekomo od Allegro

Do klientów Booking.com spamerzy rozsyłali informację o nieopłaconej fakturze za nieistniejącą rezerwację. W obu przypadkach otwarcie załączonego pliku .doc skutkowało uruchomieniem zawartego w nim makra, to zaś prowadziło do pobrania z poddomeny home.pl pliku MSUPDATE32.exe lub MSUPDATE64.exe. W taki właśnie sposób komputer pechowego użytkownika dołączał do botnetu Andromeda.

Kolejnym krokiem było pobranie z sieci złośliwego oprogramowania spakowanego za pomocą narzędzia RazorCrypt do skryptu AutoIt. Po jego rozpakowaniu w systemie pojawiał się program napisany w języku Visual Basic, służący do wykradania haseł ofiary z różnych aplikacji, w szczególności z przeglądarek. Pozyskane w ten sposób dane były wysyłane za pomocą żądania typu GET do twórcy złośliwego programu.

Więcej szczegółów technicznych można znaleźć na blogu CERT Polska.


Źródło: CERT Polska
  
znajdź w serwisie

RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy  
« Wrzesień 2019»
PoWtŚrCzwPtSbNd
 1
2345678
9101112131415
16171819202122
23242526272829
30