![Weekendowa Lektura: odcinek 614 [2025-03-09]. Bierzcie i czytajcie](https://zaufanatrzeciastrona.pl/wp-content/uploads/2024/02/library.jpg)
![Jesteś w ciąży? Nie bądź targetem! Jak zachować prywatność w sieci [poradnik]](https://panoptykon.org/sites/default/files/2025-03/poradnik_prywatnosc_ciaza_grafika_pdf.png)
Uwaga na fałszywe e-maile od BNP Paribas
CERT Orange Polska ostrzega przed nową falą ataków phishingowych, w których cyberprzestępcy podszywają się pod BNP Paribas Bank Polska S.A. Celem ataku jest dystrybucja złośliwego oprogramowania, które może prowadzić do kradzieży poufnych danych użytkowników. Jak działa atak? W ramach kampanii użytkownicy otrzymują fałszywe wiadomości e-mail zawierające informację o rzekomo zrealizowanym przelewie. Wiadomość zawiera link do pobrania pliku „bnp_paribas,pdf.7z” z zewnętrznego serwera. Po rozpakowaniu archiwum użytkownik znajdzie w nim skrypt VBS, którego uruchomienie inicjuje łańcuch infekcji: Uruchamiany jest zakodowany PowerShell z pliku .bat. Za pomocą IEX (Invoke Expression) pobierany jest drugi skrypt PowerShell, który wyłącza moduł antymalware AMSI. Skrypt odszyfrowuje kod malware kluczem AES-256 (CBC) z pliku .bat. Następnie wykorzystuje Reflection.Assembly.Load do załadowania Remcos RAT w pamięci. Skutki infekcji Po uruchomieniu Remcos.RAT złośliwe oprogramowanie dodaje się do aplikacji startowych systemu: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_216d4594.cmd Dodatkowo zapisuje klucz licencyjny do rejestru, co wskazuje na wykorzystanie modelu Malware-as-a-Service: HKEY_CURRENT_USER\SOFTWARE\RMC-J4I3IV Po zakorzenieniu w systemie, malware rozpoczyna skanowanie aplikacji i systemu w poszukiwaniu zapisanych poświadczeń, kluczy sesji, plików cookie oraz wykonuje zrzuty ekranu. Wykradzione dane są gromadzone w katalogu: C:\ProgramData\remcos\logs.dat i przekazywane do serwera command and control: abokirem[.]duckdns[.]org:56379 Jak się chronić? Nie otwieraj podejrzanych wiadomości e-mail i nie klikaj w załączone linki. Zawsze sprawdzaj adres nadawcy i autentyczność przesyłanych informacji. Upewnij się, że masz zaktualizowane oprogramowanie antywirusowe. Regularnie monitoruj aktywność swojego konta bankowego oraz innych kluczowych usług online. Remcos.RAT to jedno z najczęściej wykorzystywanych narzędzi przez cyberprzestępców do kradzieży danych. Zachowaj szczególną ostrożność i zgłaszaj podejrzane wiadomości do odpowiednich służb.
CERT Orange Polska ostrzega przed nową falą ataków phishingowych, w których cyberprzestępcy podszywają się pod BNP Paribas Bank Polska S.A. Celem ataku jest dystrybucja złośliwego oprogramowania, które może prowadzić do kradzieży poufnych danych użytkowników.
Jak działa atak?
W ramach kampanii użytkownicy otrzymują fałszywe wiadomości e-mail zawierające informację o rzekomo zrealizowanym przelewie. Wiadomość zawiera link do pobrania pliku „bnp_paribas,pdf.7z” z zewnętrznego serwera.
Po rozpakowaniu archiwum użytkownik znajdzie w nim skrypt VBS, którego uruchomienie inicjuje łańcuch infekcji:
- Uruchamiany jest zakodowany PowerShell z pliku .bat.
- Za pomocą IEX (Invoke Expression) pobierany jest drugi skrypt PowerShell, który wyłącza moduł antymalware AMSI.
- Skrypt odszyfrowuje kod malware kluczem AES-256 (CBC) z pliku .bat.
- Następnie wykorzystuje Reflection.Assembly.Load do załadowania Remcos RAT w pamięci.
Skutki infekcji
Po uruchomieniu Remcos.RAT złośliwe oprogramowanie dodaje się do aplikacji startowych systemu:
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_216d4594.cmd
Dodatkowo zapisuje klucz licencyjny do rejestru, co wskazuje na wykorzystanie modelu Malware-as-a-Service:
HKEY_CURRENT_USER\SOFTWARE\RMC-J4I3IV
Po zakorzenieniu w systemie, malware rozpoczyna skanowanie aplikacji i systemu w poszukiwaniu zapisanych poświadczeń, kluczy sesji, plików cookie oraz wykonuje zrzuty ekranu. Wykradzione dane są gromadzone w katalogu:
C:\ProgramData\remcos\logs.dat
i przekazywane do serwera command and control:
abokirem[.]duckdns[.]org:56379
Jak się chronić?
- Nie otwieraj podejrzanych wiadomości e-mail i nie klikaj w załączone linki.
- Zawsze sprawdzaj adres nadawcy i autentyczność przesyłanych informacji.
- Upewnij się, że masz zaktualizowane oprogramowanie antywirusowe.
- Regularnie monitoruj aktywność swojego konta bankowego oraz innych kluczowych usług online.
Remcos.RAT to jedno z najczęściej wykorzystywanych narzędzi przez cyberprzestępców do kradzieży danych. Zachowaj szczególną ostrożność i zgłaszaj podejrzane wiadomości do odpowiednich służb.
