Campanie de infectare cu malware prin folosirea imaginii unor bănci din România

Clienții băncilor din România continuă să fie ținta atacatorilor cibernetice. Dacă săptămâna trecută, echipa CERT-RO a emis o alerta online despre atacuri de phishing care vizau accesul nepermis la contul utilizatorilor de internet banking, acum dorim să vă atragem atenția asupra unei campanii de răspândire de malware, prin intermediul căsuțelor de e-mail.

Concret, un utilizator primește pe mail un mesaj în care este informat despre faptul că s-a efectuat o plată din contul lui, iar în atașamentul anexat acelui e-mail poate accesa ordinul de plată, precum și informații suplimentare despre tranzacție. Sigur, acest mesaj este unul transmis de către atacatori, conceput pentru a părea că a fost expediat legitim de către bancă, prin copierea identității vizuale (font, logo, adresa), cu scopul de a nu ridica suspiciuni destinatarului.

Aflat în fața acestei informații, utilizatorul se poate speria că i-au fost sustrași bani din cont și este posibil să acționeze pripit, accesând acel atașament malițios din mail, care va duce automat la instalarea unei variante de malware. Atașamentul denumit ‘ordin de plată’ nu este un document, așa cum se susține în e-mail, ci un fișier executabil (.exe), care va instala pe dispozitive varianta de malware denumită ‘Agent Tesla’.

Acest malware care are abilitatea de a înregistra ceea ce tastează utilizatorul pe dispozitiv, dar și ce text copiază pe clipboard, iar aceste informații sunt transmise mai departe către un server de comandă și control (C2), manevrat de atacatori. Practic, atunci când utilizatorul se conectează pe conturile personale sau ale companiei pentru care lucrează, acele credențiale pot ajunge în posesia atacatorilor.

Recomandări