Trojan atakuje klientów PKO BP. Polscy eksperci wykryli nową metodę na kradzież pieniędzy

"Uważaj na fałszywe e-maile podszywające się pod bank o temacie: »PKO Bank Polski-Potwierdź płatność 2024.11.18«. Wiadomości mają w polu nadawcy różne adresy mailowe np.: »Księgowy PL <iod78893930@pkobp[KROPKA]pl«" - ostrzegł PKO Bank Polski. Bank nie jest autorem tych wiadomości. W treści e-maili znajduje się załącznik ze złośliwym oprogramowaniem. "Nie otwieraj załączników i nie klikaj w linki w tego rodzaju e-mailach. Jeśli klikniesz w link, możesz stracić pieniądze i kontrolę nad kontem" - zaapelowała firma.

Sprawie przyjrzał się też CERT Orange Polska (Computer Emergency Response Team) -wyspecjalizowany zespół ekspertów ds. cyberbezpieczeństwa, działający w strukturach Orange Polska. Ich głównym zadaniem jest wykrywanie i reagowanie na zagrożenia w sieci operatora oraz ochrona użytkowników internetu. To właśnie analitycy CERT Orange Polska natrafili na nową kampanię wykorzystującą szkodliwe oprogramowanie Quasar RAT.

Quasar RAT (Remote Access Trojan) to złośliwe oprogramowanie typu trojan, które daje przestępcom możliwość zdalnego przejęcia kontroli nad zainfekowanym komputerem. Program został napisany w języku C# i rozpowszechniany jest na licencji open source. Trojan pozwala cyberprzestępcom na przechwytywanie haseł zapisanych w przeglądarkach, rejestrowanie wszystkich naciśnięć klawiszy oraz uzyskanie pełnego dostępu do systemu plików i terminala komputera ofiary.

Analitycy CERT Orange Polska przechwycili oryginalną wiadomość e-mail, wykorzystywaną w kampanii. Przestępcy podszywają się pod PKO BP, wysyłając do potencjalnych ofiar wiadomości napisane poprawną polszczyzną. Do maili dołączony jest złośliwy plik, którego prawdziwe rozszerzenie zostało sprytnie zamaskowane poprzez wielokrotne użycie znaku podkreślenia.

Załącznik w rzeczywistości jest archiwum w formacie LHA, zawierającym plik wykonywalny EXE. Ten sam szkodliwy plik został przez analityków odnaleziony pod trzema różnymi nazwami: jako rzekomy dokument PDF od PKO BP oraz jako pliki CanRead.exe i Aullofkemto.exe.

Po uruchomieniu przez nieświadomą ofiarę, malware łączy się z zewnętrznym serwerem w domenie oleonidas[.]gr w celu pobrania właściwego ładunku złośliwego oprogramowania. Ta sama domena była wcześniej wykorzystywana do dystrybucji innych rodzajów szkodliwego oprogramowania, takich jak AgentTesla i SnakeKeylogger, co może sugerować, że różne grupy przestępcze korzystają z tej samej infrastruktury.

W kolejnym etapie infekcji, pobrany plik jest deszyfrowany i uruchamiany przez proces systemowy InstallUtil.exe. Następnie złośliwe oprogramowanie zapewnia sobie trwałość w systemie poprzez utworzenie nowego zadania, które uruchamia się przy każdym logowaniu użytkownika. Program komunikuje się z serwerem sterującym zlokalizowanym w domenie aboushagor.ydns[.]eu na porcie 6542 TCP.

Zagrożenie dla klientów PKO BP jest jak najbardziej realne. Analitycy CERT potwierdzili, że kampania jest aktywna i stanowi poważne ryzyko wycieku danych uwierzytelniających do bankowości elektronicznej. Quasar RAT może nie tylko przechwycić dane logowania, ale także przejąć pełną kontrolę nad komputerem ofiary, co potencjalnie umożliwia przestępcom dokonywanie nieautoryzowanych transakcji.

CERT Orange Polska zaleca szczególną ostrożność przy otwieraniu załączników, nawet jeśli wydają się pochodzić z zaufanych źródeł. W przypadku wiadomości dotyczących płatności lub innych spraw bankowych, należy weryfikować ich autentyczność poprzez bezpośredni kontakt z bankiem, nie korzystając z danych kontaktowych podanych w podejrzanej wiadomości.