CERT Orange Polska wykrył nową kampanię cyberprzestępców, którzy wykorzystują złośliwe oprogramowanie Quasar RAT do ataków na klientów PKO BP. Trojan umożliwia pełne przejęcie kontroli nad komputerem ofiary, w tym kradzież danych logowania do bankowości elektronicznej. Złośliwe oprogramowanie jest rozpowszechniane za pośrednictwem fałszywych wiadomości e-mail, które imitują autentyczną korespondencję z banku.
Jak działa trojan Quasar RAT?
Quasar RAT (Remote Access Trojan) to narzędzie umożliwiające zdalny dostęp do zainfekowanego komputera. Napisane w języku C# oprogramowanie open source jest zdolne do:
- przechwytywania haseł zapisanych w przeglądarkach,
- rejestrowania naciśnięć klawiszy (keylogger),
- uzyskania pełnego dostępu do plików i systemu operacyjnego.
W najnowszej kampanii malware jest ukryte w załącznikach do wiadomości e-mail, które udają dokumenty PDF od PKO BP.
Mechanizm ataku
Fałszywe e-maile są napisane poprawną polszczyzną i zawierają załącznik z plikiem, którego prawdziwe rozszerzenie zostało sprytnie zamaskowane. Po otwarciu pliku przez ofiarę:
- Malware łączy się z serwerem w celu pobrania dodatkowego ładunku złośliwego oprogramowania.
- Pobrany plik jest uruchamiany przez proces systemowy InstallUtil.exe.
- Trojan instaluje się w systemie, zapewniając sobie trwałość przez automatyczne uruchamianie przy każdym logowaniu użytkownika.
- Komunikacja z serwerem sterującym odbywa się za pomocą domen, takich jak aboushagor.ydns[.]eu, przez port 6542 TCP.
Realne zagrożenie dla użytkowników
CERT Orange Polska ostrzega, że kampania jest aktywna i może prowadzić do poważnych konsekwencji, takich jak kradzież danych uwierzytelniających do bankowości elektronicznej oraz przejęcie pełnej kontroli nad komputerem.
Eksperci zwracają uwagę na szczególne ryzyko dla klientów, którzy korzystają z zaufanych przeglądarek do przechowywania danych logowania.
Jak się chronić?
CERT Orange Polska zaleca:
- Nie otwieranie załączników w e-mailach od nieznanych nadawców.
- Weryfikowanie podejrzanych wiadomości bezpośrednio u źródła, np. kontaktując się z bankiem, ale korzystając z oficjalnych kanałów.
- Stosowanie aktualnego oprogramowania antywirusowego i zachowanie ostrożności w sieci.
Czytaj też:
Hakerzy są bezlitośni. Na ich celownikach polskie firmyCzytaj też:
Uwaga, nie złożysz wniosku. Wielka awaria w ministerstwie