Uwaga na wiadomości podszywające się pod Alior Bank

Do skrzynek Polaków trafia właśnie nowa kampania przestępców, wykorzystująca wizerunek Alior Banku oraz pewien dawno niespotykany trik związany z dokumentami Worda i osadzonymi w nich obiektami.

Poczta elektroniczna niezmiennie pozostaje ulubionym narzędziem przestępców, którzy chwytają się różnych sztuczek, by namówić użytkowników do klikania w linki lub załączniki. Tym razem sięgnęli po metodę, której nie widzieliśmy już od kilku ładnych miesięcy.

Środki pieniężne zostały zaksięgowane na Twoim koncie

Wiadomość przestępców ma temat „Środki pieniężne zostały zaksięgowane na Twoim koncie” i wygląda następująco:

10000 USD zostało przelane na twoje konto bankowe. Kliknij przycisk „aby otrzymać kupon pieniężny” w celu uzyskania informacji.

Sama wiadomość nie zawiera załącznika, jednak pod guzkiem „aby otrzymać kupon pieniężny” znajduje się link prowadzący (po przekierowaniu) do adresu:

z którego pobierany jest plik Invoice.doc (tu link do VT). Ten plik z kolei wygląda następująco:

Widzimy tutaj wykorzystanie błędu (uznawanego przez Microsoft za funkcję programu) w łączeniu obiektów DDE, pozwalającego na wykonanie konkretnego kodu po tym, jak użytkownik dwukrotnie wyrazi zgodę, klikając w guzik „Tak”. Kod, który zostanie wykonany, wygląda tak:

W momencie analizy linka nie udało nam się pobrać ostatecznego ładunku przestępców – zobaczyliśmy tylko błąd 404. Nie jest jednak wykluczone, że albo plik zostanie uzupełniony, albo nie spełniliśmy jakiegoś wymogu przestępców, by paść ofiarą ataku.

Kilka informacji technicznych:

Dziękujemy użytkownikom, którzy nadesłali próbki wiadomości.

źródło: zaufanatrzeciastrona.pl

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *