Cyberoszuści próbują nowej metody na skłonienie użytkowników poczty elektronicznej do zainstalowania szkodliwego programu. CERT Polska ostrzega przed e-mailami z prezentacjami PowerPoint, które udostępniane są na Dysku Google. Może to wskazywać na rosnącą nieskuteczność dotychczasowego sposobu infekowania, czyli załączników.
Idea oszustwa jest bardzo prosta. Z adresów e-mail rozsyłane są wiadomości z informacją o niezapłaconej fakturze – z tą różnicą wobec dotychczasowej praktyki, że e-mail zawiera prezentację w formacie pptx obsługiwaną przez PowerPoint i udostępnioną na Dysku Google.
Etapy infekcji
Prezentacja składa się tylko z jednego slajdu, na którym znajduje się link do fałszywej faktury. Po kliknięciu pobiera się archiwum ZIP o nazwie document3508.zip z adresu: http://post-341478[.]info/Pobieranie. Wewnątrz znajduje się plik o nazwie document3508.vbe, czyli skrypt w języku VBScript. Pobiera on tzw. trojana. Zagrożenie tego typu pod nazwą Brushaloader jest już znane i rozpoznawane przez niektóre programy antywirusowe. Jeśli korzystamy z jednego z nich, zostaniemy ostrzeżeni na którymś z etapów infekcji. Wielość etapów ma spowodować uśpienie naszej czujności, a głównym celem tej komplikacji jest ominięcie automatycznych systemów wykrywania szkodliwych załączników. Użytkownik sam ściąga na swój komputer złośliwy skrypt.
Po jego uruchomieniu, na komputerze instalowany jest niebezpieczny program typu banker. Może on m.in. zbierać informacje o wciskanych klawiszach i zapisywać zawartość schowka. Jego zadaniem jest wykradanie danych logowania do systemów bankowości elektronicznej.
CERT Polska zachęca do zgłaszania podobnych incydentów związanych z otrzymywaniem fałszywych dokumentów w wiadomościach e-mail.
Marcin Loch/Ostrzegamy.online