Zespół CSIRT (Computer Security Incident Response Team) Naukowej i Akademickiej Sieci Komputerowej poinformował w środę, że obserwuje nową kampanię wiadomości e-mail, mającą na celu dystrybucję szkodliwego oprogramowania.
Metoda działania oszustów
"Potencjalna ofiara otrzymuje na swój adres e-mail wiadomość, rzekomo od Głównego Urzędu Statystycznego, o objęciu jej obowiązkiem sprawozdawczym, zgodnie z którym musi wypełnić elektroniczny formularz zgłoszenia, zamieszczony w załączniku wiadomości. W celu uwiarygodnienia wiadomości nadawca powołuje się na szereg przepisów prawnych i zamieszcza linki prowadzące do rzeczywistej strony Biuletynu Informacji Publicznej" - czytamy w informacji.
Eksperci zwracają uwagę, że oszuści podszywają się pod adres GUS-Portal@info.stat.gov.pl i dodają, że w załączniku wiadomości znajduje się plik wykonywalny w postaci archiwum o nazwie "Elektroniczny formularz zgłoszenia.exe"." W rzeczywistości mamy do czynienia ze szkodliwym oprogramowaniem GuLoader/CloudEyE" - informuje NASK.
"Charakteryzuje się ona wykradaniem danych wrażliwych"
Dodaje, że jego zadaniem jest jedynie zweryfikowanie, czy program nie został uruchomiony w środowisku wirtualnym, a następnie pobranie właściwego pliku ze złośliwym oprogramowaniem z zewnętrznej strony i uruchomienie go.
"Szkodliwe oprogramowanie, które jest pobierane w ostatniej fazie infekcji, pochodzi z rodziny Agent Tesla/OriginLogger. Charakteryzuje się ona wykradaniem danych wrażliwych z komputera ofiary m.in. zapisanych haseł i ciasteczek z przeglądarki, informacji o systemie, a także haseł z najpopularniejszych aplikacji. W kolejnym etapie dane te są eksfiltrowane za pomocą jednej z wielu dostępnych metod takich jak wysyłanie maili (SMTP), serwer FTP albo nawet korzystając z możliwości API takich platform jak Telegram czy Discord" - wskazuje NASK.
W przypadku zainfekowania komputera szkodliwym oprogramowaniem NASK radzi, by w pierwszej kolejności odłączyć urządzenie od sieci, zarówno tej przewodowej, jak i bezprzewodowej. Następnie, wykorzystując inne niezainfekowane urządzenie, należy zmienić wszystkie hasła, które były zapisane w przeglądarce i innych aplikacjach, a także tych, które były podawane już po infekcji szkodliwym oprogramowaniem.
"Sugerujemy wykonanie kopii zapasowej danych, następnie przeinstalowanie systemu operacyjnego i przywrócenie najważniejszych danych ze wspomnianej kopii zapasowej" - zaznaczają eksperci.
Dodają, że alternatywnie zainfekowane urządzenie można przeskanować za pomocą programu antywirusego. "W systemie Windows można wykorzystać do tego wbudowany program Windows Defender. Jednak warto pamiętać, że nie daje to gwarancji pełnego usunięcia szkodliwego oprogramowania" - wskazano.
autor: Marcin Chomiuk
