Trwa ofensywa hakerów podszywających się pod operatorów telefonicznych. - Oszuści znowu wysyłają na skrzynki mailowe fałszywe faktury z wirusem w załączniku - ostrzega rzecznik sieci Play.
"Oszuści znowu uderzają na skrzynki pocztowe. Faktury najlepiej weryfikować na Play24, gdzie znajdziecie aktualne i prawdziwe dane!" - czytamy w tweecie Marcina Gruszki, rzecznika prasowego Play.
Operator zgłosił już sprawę do organów ścigania.
Oszuści znowu uderzają na skrzynki pocztowe. Faktury najlepiej weryfikować na Play24, gdzie znajdziecie aktualne i prawdziwe dane!
— Marcin Gruszka (@RzecznikPlay) 4 stycznia 2017
Przypomnijmy, że już w grudniu ub.r. rzecznik radził, by nie otwierać podejrzanych wiadomości.
"Proszę kiedy dostaniecie dziwną informację o fakturze najlepiej nie otwierajcie takiego maila. A kiedy już do niego zajrzycie proszę nie otwierajcie załączników pod żadnym pozorem. To nie są nasze faktury! Polecam w razie wątpliwości sprawdzić status swoich płatności na PLAY24. Jeżeli nie jesteście klientem PLAY to pewne, że mail jest elementem ataku" - możemy przeczytać w grudniowym wpisie na blogu rzecznika Play.
Faktura Play
Tym razem chodzi o kampanię hakerów, która ruszyła pod koniec ubiegłego roku. Znacznie groźniejszą niż poprzednia i dodatkowo, bardzo dobrze przygotowaną.
Jednym z niewielu elementów ostrzegających o potencjalnym zagrożeniu jest bowiem brak polskich znaków w treści wiadomości. Wszystko inne pozostaje zbliżone do właściwych maili, tych wysyłanych przez operatora.
"Adresem nadawcy było awizo@mojefinanseplay.pl - jak w oryginale. Zgadzał się także temat wiadomości oraz jej format i treść. W treści dokumentu znajdował się numer faktury i kwota, a wszystkie linki prowadziły do prawdziwego serwisu firmy Play. Co więcej, kliknięcie w nie wyświetlało stronę, na której zgadzał się numer faktury i kwota (parametry były przekazywane w URLu)" - zauważa portal Zaufana Trzecia Strona.
Dla niektórych odbiorców wiadomości były również spersonalizowane, co dodatkowo budowało ich zaufanie.
Czerwona lampka powinna nam się zapalić jednak w momencie, kiedy mieliśmy otworzyć rzekomą fakturę. W załączniku do wiadomości zamieszczone było bowiem archiwum RAR, a nie jak zawsze w takich przypadkach - plik o rozszerzeniu PDF.
Złośliwy skrypt
Otwarcie plików grozi poważnymi konsekwencjami dla ofiary. Wszystko za sprawą metody zastosowanej przez oszustów, która omija mechanizmy antywirusowe.
Ściągany przez ofiarę spakowany folder zawiera bowiem dwa inne pliki - kolejne archiwum (zabezpieczone hasłem) oraz plik tekstowy z informacją o haśle. I to właśnie po odpakowaniu drugiego archiwum ofiara można uruchomić złośliwy skrypt na swoim komputerze.
Na co pozwala owy skrypt? Jak wskazuje Zaufana Trzecia Strona, potrafi on połączyć się do zdefiniowanego serwera przestępcy i wykonywać jego żądania. Posiada także mechanizmy zapewniające jego "przeżywalność" oraz sprytne mechanizmy rozprzestrzeniania się (np. przez napędy USB).
Sam złośliwy skrypt wyposażony jest dodatkowo w podstawowy zestaw komend, ale są one wystarczające, aby przeprowadzić dalsze operacje na komputerze, takie jak instalacja innego złośliwego oprogramowania, wykradzenie lub zniszczenie danych użytkownika - czytamy.
Co zrobić?
Istnieją jednak pewne sposoby walki ze złośliwym skryptem. Należy jednak w takiej sytuacji zwrócić uwagę na to, czy w momencie otwierania załącznika mieliśmy podłączone do naszego komputera urządzenie USB.
Gdy w systemie zainstalowany jest "jedynie" złośliwy skrypt, w pierwszym kroku powinniśmy uruchomić "Menedżera zadań", odszukać proces "wscript.exe", kliknąć na nim prawym przyciskiem myszki i wybrać opcję "Zakończ proces".
To jednak nie koniec. Należy ponadto otworzyć edytor rejestru (start>uruchom i wpisać refedit.exe), a następnie skasować klucze: "HKCU Software Microsoft Windows CurrentVersion Run TFR0ELUFV8" oraz "HKLMvjw0rm". Konieczne jest również usunięcie skryptu z katalogów: "C:UsersAppData Roaming Microsoft Windows Start Menu Programs Startup" oraz "C: Users AppData Local Temp" - wskazuje Zaufana Trzecia Strona.
Wówczas do poprawnego zakończenia czyszczenia pozostaje już tylko reset komputera. Jeżeli w momencie otwierania rzekomej faktury mieliśmy podłączony dysk USB lub pendrive, mechanizm czyszczenia jest nieco inny.
Wówczas należy włączyć pokazywanie plików oraz folderów ukrytych i systemowych oraz rozszerzenia plików, a następnie przejść do głównego katalogu napędu USB. Potem trzeba odnaleźć złośliwy plik JS i go skasować.
Ponadto konieczne jest również usunięcie wszystkich skrótów (*.lnk) do plików i katalogów znajdujących się na napędzie USB. Branżowy portal zauważa dodatkowo, że skróty utworzone są także w podkatalogach, z których także trzeba je wyczyścić.
Zobacz. Państwowe systemy informatyczne nie zapewniają bezpieczeństwa danych Polaków. Działania realizowane w celu zapewnienia cyberbezpieczeństwa były prowadzone opieszale, bez przygotowanego planu, a środki przeznaczane na ten cel były niewystarczające - alarmuje w raporcie NIK (wideo z 16.05.2016 r.).
Autor: mb/gry / Źródło: Zaufana Trzecia Strona, tvn24bis.pl
Źródło zdjęcia głównego: Shutterstock