Hakerzy atakują klientów PKO BP. Trojan przejmuje kontrolę nad komputerem

Hakerzy atakują klientów PKO BP. Trojan przejmuje kontrolę nad komputerem

Haker przed laptopem, zdjęcie ilustracyjne
Haker przed laptopem, zdjęcie ilustracyjne Źródło: Freepik
CERT Orange Polska ostrzega przed kampanią trojana Quasar RAT. Fałszywe e-maile od PKO BP to nowa metoda kradzieży danych klientów banku.

CERT Orange Polska wykrył nową kampanię cyberprzestępców, którzy wykorzystują złośliwe oprogramowanie Quasar RAT do ataków na klientów PKO BP. Trojan umożliwia pełne przejęcie kontroli nad komputerem ofiary, w tym kradzież danych logowania do bankowości elektronicznej. Złośliwe oprogramowanie jest rozpowszechniane za pośrednictwem fałszywych wiadomości e-mail, które imitują autentyczną korespondencję z banku.

Jak działa trojan Quasar RAT?

Quasar RAT (Remote Access Trojan) to narzędzie umożliwiające zdalny dostęp do zainfekowanego komputera. Napisane w języku C# oprogramowanie open source jest zdolne do:

  • przechwytywania haseł zapisanych w przeglądarkach,
  • rejestrowania naciśnięć klawiszy (keylogger),
  • uzyskania pełnego dostępu do plików i systemu operacyjnego.

W najnowszej kampanii malware jest ukryte w załącznikach do wiadomości e-mail, które udają dokumenty PDF od PKO BP.

Mechanizm ataku

Fałszywe e-maile są napisane poprawną polszczyzną i zawierają załącznik z plikiem, którego prawdziwe rozszerzenie zostało sprytnie zamaskowane. Po otwarciu pliku przez ofiarę:

  1. Malware łączy się z serwerem w celu pobrania dodatkowego ładunku złośliwego oprogramowania.
  2. Pobrany plik jest uruchamiany przez proces systemowy InstallUtil.exe.
  3. Trojan instaluje się w systemie, zapewniając sobie trwałość przez automatyczne uruchamianie przy każdym logowaniu użytkownika.
  4. Komunikacja z serwerem sterującym odbywa się za pomocą domen, takich jak aboushagor.ydns[.]eu, przez port 6542 TCP.

Realne zagrożenie dla użytkowników

CERT Orange Polska ostrzega, że kampania jest aktywna i może prowadzić do poważnych konsekwencji, takich jak kradzież danych uwierzytelniających do bankowości elektronicznej oraz przejęcie pełnej kontroli nad komputerem.

Eksperci zwracają uwagę na szczególne ryzyko dla klientów, którzy korzystają z zaufanych przeglądarek do przechowywania danych logowania.

Jak się chronić?

CERT Orange Polska zaleca:

  • Nie otwieranie załączników w e-mailach od nieznanych nadawców.
  • Weryfikowanie podejrzanych wiadomości bezpośrednio u źródła, np. kontaktując się z bankiem, ale korzystając z oficjalnych kanałów.
  • Stosowanie aktualnego oprogramowania antywirusowego i zachowanie ostrożności w sieci.

Czytaj też:
Hakerzy są bezlitośni. Na ich celownikach polskie firmy
Czytaj też:
Uwaga, nie złożysz wniosku. Wielka awaria w ministerstwie