Mimo rosnącej świadomości użytkowników nadal za pomocą prostych, dostępnych w internecie narzędzi można stworzyć kampanię, która odniesie sukces. Najnowszym przykładem tego typu działań jest atak na użytkowników Allegro i Booking.com.

Tydzień temu informowaliśmy w Dzienniku Internautów o fali fałszywych e-maili do klientów polskich operatorów, takich jak Vectra i UPC. W tym samym czasie zespół CERT Polska zaobserwował inny atak polegający na podszywaniu się pod portal aukcyjny Allegro i stronę pozwalającą rezerwować pokoje hotelowe Booking.com.

Potencjalne ofiary otrzymywały spersonalizowane e-maile z informacją o zablokowaniu konta w serwisie z powodu "nieuregulowanych opłat" albo "umieszczania w opisie Twojej aukcji treści niezgodnych z regulaminem Allegro". Poniżej można zobaczyć przykładowy e-mail:

Przykładowy e-mail rzekomo od Allegro

Do klientów Booking.com spamerzy rozsyłali informację o nieopłaconej fakturze za nieistniejącą rezerwację. W obu przypadkach otwarcie załączonego pliku .doc skutkowało uruchomieniem zawartego w nim makra, to zaś prowadziło do pobrania z poddomeny home.pl pliku MSUPDATE32.exe lub MSUPDATE64.exe. W taki właśnie sposób komputer pechowego użytkownika dołączał do botnetu Andromeda.

Kolejnym krokiem było pobranie z sieci złośliwego oprogramowania spakowanego za pomocą narzędzia RazorCrypt do skryptu AutoIt. Po jego rozpakowaniu w systemie pojawiał się program napisany w języku Visual Basic, służący do wykradania haseł ofiary z różnych aplikacji, w szczególności z przeglądarek. Pozyskane w ten sposób dane były wysyłane za pomocą żądania typu GET do twórcy złośliwego programu.

Więcej szczegółów technicznych można znaleźć na blogu CERT Polska.


Artykuł może zawierać linki partnerów, umożliwiające rozwój serwisu i dostarczanie darmowych treści.

Źródło: CERT Polska

Stopka:

Kanały dostępu:

Partnerzy:

© 1998-2025 Dziennik Internautów Sp. z o.o. Wszelkie prawa zastrzeżone.