Trojan atakuje klientów PKO BP. Polscy eksperci wykryli nową metodę na kradzież pieniędzy

PKO BP wykrył nową kampanię hakerską wymierzoną w swoich klientów. "Uważaj na fałszywe e-maile podszywające się pod bank" - ostrzega firma. Eksperci z CERT Orange tłumaczą, że przestępcy wykorzystują zaawansowanego trojana Quasar RAT, który może przejąć pełną kontrolę nad komputerem ofiary.

Cyberprzestępcy atakują klientów PKO BPCyberprzestępcy atakują klientów PKO BP
Źródło zdjęć: © Licencjodawca | Dawid Wolski
Robert Kędzierski
oprac.  Robert Kędzierski

"Uważaj na fałszywe e-maile podszywające się pod bank o temacie: »PKO Bank Polski-Potwierdź płatność 2024.11.18«. Wiadomości mają w polu nadawcy różne adresy mailowe np.: »Księgowy PL <iod78893930@pkobp[KROPKA]pl«" - ostrzegł PKO Bank Polski. Bank nie jest autorem tych wiadomości. W treści e-maili znajduje się załącznik ze złośliwym oprogramowaniem. "Nie otwieraj załączników i nie klikaj w linki w tego rodzaju e-mailach. Jeśli klikniesz w link, możesz stracić pieniądze i kontrolę nad kontem" - zaapelowała firma.

Sprawie przyjrzał się też CERT Orange Polska (Computer Emergency Response Team) -wyspecjalizowany zespół ekspertów ds. cyberbezpieczeństwa, działający w strukturach Orange Polska. Ich głównym zadaniem jest wykrywanie i reagowanie na zagrożenia w sieci operatora oraz ochrona użytkowników internetu. To właśnie analitycy CERT Orange Polska natrafili na nową kampanię wykorzystującą szkodliwe oprogramowanie Quasar RAT.

Quasar RAT (Remote Access Trojan) to złośliwe oprogramowanie typu trojan, które daje przestępcom możliwość zdalnego przejęcia kontroli nad zainfekowanym komputerem. Program został napisany w języku C# i rozpowszechniany jest na licencji open source. Trojan pozwala cyberprzestępcom na przechwytywanie haseł zapisanych w przeglądarkach, rejestrowanie wszystkich naciśnięć klawiszy oraz uzyskanie pełnego dostępu do systemu plików i terminala komputera ofiary.

Dalsza część artykułu pod materiałem wideo

Putin czekał na Trumpa? "Będzie mógł odpocząć"

Wyrafinowana metoda ataku

Analitycy CERT Orange Polska przechwycili oryginalną wiadomość e-mail, wykorzystywaną w kampanii. Przestępcy podszywają się pod PKO BP, wysyłając do potencjalnych ofiar wiadomości napisane poprawną polszczyzną. Do maili dołączony jest złośliwy plik, którego prawdziwe rozszerzenie zostało sprytnie zamaskowane poprzez wielokrotne użycie znaku podkreślenia.

Załącznik w rzeczywistości jest archiwum w formacie LHA, zawierającym plik wykonywalny EXE. Ten sam szkodliwy plik został przez analityków odnaleziony pod trzema różnymi nazwami: jako rzekomy dokument PDF od PKO BP oraz jako pliki CanRead.exe i Aullofkemto.exe.

Mechanizm działania złośliwego oprogramowania

Po uruchomieniu przez nieświadomą ofiarę, malware łączy się z zewnętrznym serwerem w domenie oleonidas[.]gr w celu pobrania właściwego ładunku złośliwego oprogramowania. Ta sama domena była wcześniej wykorzystywana do dystrybucji innych rodzajów szkodliwego oprogramowania, takich jak AgentTesla i SnakeKeylogger, co może sugerować, że różne grupy przestępcze korzystają z tej samej infrastruktury.

W kolejnym etapie infekcji, pobrany plik jest deszyfrowany i uruchamiany przez proces systemowy InstallUtil.exe. Następnie złośliwe oprogramowanie zapewnia sobie trwałość w systemie poprzez utworzenie nowego zadania, które uruchamia się przy każdym logowaniu użytkownika. Program komunikuje się z serwerem sterującym zlokalizowanym w domenie aboushagor.ydns[.]eu na porcie 6542 TCP.

Zagrożenie dla klientów PKO BP jest jak najbardziej realne. Analitycy CERT potwierdzili, że kampania jest aktywna i stanowi poważne ryzyko wycieku danych uwierzytelniających do bankowości elektronicznej. Quasar RAT może nie tylko przechwycić dane logowania, ale także przejąć pełną kontrolę nad komputerem ofiary, co potencjalnie umożliwia przestępcom dokonywanie nieautoryzowanych transakcji.

CERT Orange Polska zaleca szczególną ostrożność przy otwieraniu załączników, nawet jeśli wydają się pochodzić z zaufanych źródeł. W przypadku wiadomości dotyczących płatności lub innych spraw bankowych, należy weryfikować ich autentyczność poprzez bezpośredni kontakt z bankiem, nie korzystając z danych kontaktowych podanych w podejrzanej wiadomości.

Źródło artykułu: money.pl
Wybrane dla Ciebie
Stawki żywieniowe idą w dół. Szpitale biją na alarm
Stawki żywieniowe idą w dół. Szpitale biją na alarm
Putin porównał Grenlandię do Alaski. Podał szacunkową wartość transakcji
Putin porównał Grenlandię do Alaski. Podał szacunkową wartość transakcji
Rosja wyciąga z hangarów stare samoloty. "Nie odpowiadają standardom"
Rosja wyciąga z hangarów stare samoloty. "Nie odpowiadają standardom"
Wzrost cen miedzi po decyzjach Trumpa. Rosną też zapasy czerwonego metalu w USA
Wzrost cen miedzi po decyzjach Trumpa. Rosną też zapasy czerwonego metalu w USA
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 22.01.2026
Ile kosztuje euro? Kurs euro do złotego PLN/EUR 22.01.2026
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 22.01.2026
Ile kosztuje dolar? Kurs dolara do złotego PLN/USD 22.01.2026
Ile kosztuje funt? Kurs funta do złotego PLN/GBP 22.01.2026
Ile kosztuje funt? Kurs funta do złotego PLN/GBP 22.01.2026
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 22.01.2026
Ile kosztuje frank szwajcarski? Kurs franka do złotego PLN/CHF 22.01.2026
Nowa potęga na oceanach. Rosja została wyprzedzona
Nowa potęga na oceanach. Rosja została wyprzedzona
Rynki odetchnęły po decyzji Trumpa. Ceny złota topnieją
Rynki odetchnęły po decyzji Trumpa. Ceny złota topnieją
Rekord upadłości w branży taksówek. Tak źle jeszcze nigdy nie było
Rekord upadłości w branży taksówek. Tak źle jeszcze nigdy nie było
Trump wycofuje groźby ceł dotyczące Grenlandii. Ceny ropy wzrosły
Trump wycofuje groźby ceł dotyczące Grenlandii. Ceny ropy wzrosły