CERT Orange Polska wykrył nową kampanię hakerską wymierzoną w klientów PKO BP. Przestępcy wykorzystują zaawansowanego trojana Quasar RAT, który może przejąć pełną kontrolę nad komputerem ofiary. Złośliwe oprogramowanie rozpowszechniane jest przez fałszywe maile udające korespondencję z banku.
Cyberprzestępcy atakują klientów PKO BP (Licencjodawca, Dawid Wolski)
CERT Orange Polska (Computer Emergency Response Team) to wyspecjalizowany zespół ekspertów ds. cyberbezpieczeństwa, działający w strukturach Orange Polska. Ich głównym zadaniem jest wykrywanie i reagowanie na zagrożenia w sieci operatora oraz ochrona użytkowników internetu. To właśnie analitycy CERT Orange Polska natrafili na nową kampanię wykorzystującą szkodliwe oprogramowanie Quasar RAT.
Quasar RAT (Remote Access Trojan) to złośliwe oprogramowanie typu trojan, które daje przestępcom możliwość zdalnego przejęcia kontroli nad zainfekowanym komputerem. Program został napisany w języku C# i rozpowszechniany jest na licencji open source. Trojan pozwala cyberprzestępcom na przechwytywanie haseł zapisanych w przeglądarkach, rejestrowanie wszystkich naciśnięć klawiszy oraz uzyskanie pełnego dostępu do systemu plików i terminala komputera ofiary.
Dalsza część artykułu pod materiałem wideo
Zobacz także: Greenpact – relacja 2 dzień
Wyrafinowana metoda ataku
Analitycy CERT Orange Polska przechwycili oryginalną wiadomość e-mail, wykorzystywaną w kampanii. Przestępcy podszywają się pod PKO BP, wysyłając do potencjalnych ofiar wiadomości napisane poprawną polszczyzną. Do maili dołączony jest złośliwy plik, którego prawdziwe rozszerzenie zostało sprytnie zamaskowane poprzez wielokrotne użycie znaku podkreślenia.
Załącznik w rzeczywistości jest archiwum w formacie LHA, zawierającym plik wykonywalny EXE. Ten sam szkodliwy plik został przez analityków odnaleziony pod trzema różnymi nazwami: jako rzekomy dokument PDF od PKO BP oraz jako pliki CanRead.exe i Aullofkemto.exe.
Mechanizm działania złośliwego oprogramowania
Po uruchomieniu przez nieświadomą ofiarę, malware łączy się z zewnętrznym serwerem w domenie oleonidas[.]gr w celu pobrania właściwego ładunku złośliwego oprogramowania. Ta sama domena była wcześniej wykorzystywana do dystrybucji innych rodzajów szkodliwego oprogramowania, takich jak AgentTesla i SnakeKeylogger, co może sugerować, że różne grupy przestępcze korzystają z tej samej infrastruktury.
W kolejnym etapie infekcji, pobrany plik jest deszyfrowany i uruchamiany przez proces systemowy InstallUtil.exe. Następnie złośliwe oprogramowanie zapewnia sobie trwałość w systemie poprzez utworzenie nowego zadania, które uruchamia się przy każdym logowaniu użytkownika. Program komunikuje się z serwerem sterującym zlokalizowanym w domenie aboushagor.ydns[.]eu na porcie 6542 TCP.
Zagrożenie dla klientów PKO BP jest jak najbardziej realne. Analitycy CERT potwierdzili, że kampania jest aktywna i stanowi poważne ryzyko wycieku danych uwierzytelniających do bankowości elektronicznej. Quasar RAT może nie tylko przechwycić dane logowania, ale także przejąć pełną kontrolę nad komputerem ofiary, co potencjalnie umożliwia przestępcom dokonywanie nieautoryzowanych transakcji.
CERT Orange Polska zaleca szczególną ostrożność przy otwieraniu załączników, nawet jeśli wydają się pochodzić z zaufanych źródeł. W przypadku wiadomości dotyczących płatności lub innych spraw bankowych, należy weryfikować ich autentyczność poprzez bezpośredni kontakt z bankiem, nie korzystając z danych kontaktowych podanych w podejrzanej wiadomości.
