Od początku czerwca ma miejsce zmasowany atak wirusów wysyłanych na skrzynki e-mailowe w postaci załączników do wiadomości, które mogą doprowadzić do utraty środków m.in. klientów giełdy kryptowalut BitBay, wybranych banków oraz posiadaczy niektórych software’owych portfeli kryptowalut.
Niebezpieczne załączniki
Wirus (konkretnie koń trojański) dystrybuowany jest za pomocą poczty elektronicznej, poprzez masowe wysyłanie maili zawierających załączniki w formie zarchiwizowanych plików ZIP. Treść i nadawca maila mają zachęcić odbiorcę wiadomości do pobrania załącznika, czy to przez nieuwagę, czy niewiedzę. Temat wiadomości najczęściej odnosi się do kwestii związanych z rozliczeniami i płatnościami i przybiera treść taką, jak np. „Faktury”, „Zaległe faktury”, „Potwierdzenie transakcji”, „Wezwanie do zapłaty”, „Nota księgowa”, co ma zwrócić uwagę odbiorcy i uśpić jego czujność. Maile wysyłane są z wielu adresów, z których każdy posiada polskojęzyczne imię i nazwisko oraz podpis wraz z nazwą firmy, najczęściej zdeformowaną (np. „Biuro Ekoprzedsiębiorstwo sp. z o.o.”; firma o takiej nazwie nie istnieje). Treść maila jest krótka i nie posiada błędów językowych (nie była automatycznie tłumaczona), zaś nazwa pliku w załączniku zgadza się z komunikatem lub tematem wiadomości.
Wszystko to sprawia, że atak można uznać za dobrze przygotowany, przez co szczególnie niebezpieczny. Wiadomości z wirusem w skuteczny sposób próbują zaciekawić odbiorcę („być może mam jakąś niezapłaconą fakturę, o której zapomniałem”) lub wtopić się w codzienną korespondencję firmową, którą obsługujemy niemal automatycznie. Na szczęście, samo pobranie załącznika nie jest równoznaczne z zainfekowaniem komputera, gdyż skrypt uruchamia się dopiero po rozpakowaniu archiwum (otwarciu pliku ZIP).
Osobiście, od początku miesiąca otrzymałem już kilkanaście podobnych wiadomości, za każdym razem od innego nadawcy. Poniżej przykład jednej z nich:
Jak działa wirus?
Wirus ma za zadanie wyłudzić nasze dane poufne, służące do logowania do serwisów bankowości internetowej, czy najpopularniejszej w Polsce giełdy kryptowalut - BitBay. W rozpakowanym załączniku najczęściej znajduje się plik z rozszerzeniem .js (JavaScript), tzw. loader, posiadający automatycznie uruchamiający się skrypt, który zbiera podstawowe dane o naszym komputerze (nazwa i wersja systemu operacyjnego, zainstalowane oprogramowanie antywirusowe, parametry techniczne) i komunikuje się z zewnętrznym serwerem, który wysyła do niego komendy.
Jedna z powyższych komend jest pobranie złośliwego oprogramowania o nazwie DanaBot, które jest - wciąż niewykrywanym przez wszystkie programy antywirusowe - koniem trojańskim, mającym za zadanie przejąć nasze wrażliwe dane.
Samo przejęcie danych ma formę ataku phishingowego (jeśli nie wiesz czym jest phishing, wyjaśniam to w ostatnim akapicie artykułu) o dość wyrafinowanej formie tzw. webinjectu. Polega to na „wstrzyknięciu” złośliwego skryptu do kodu odwiedzanej przez nas witryny w naszej przeglądarce internetowej. Skrypt ma za zadanie skopiować nasze dane do logowania i przesłać je na serwer oszustów, robiąc to bez naszej wiedzy.
Skrypt został napisany wyłącznie pod wybrane witryny internetowe banków oraz giełd kryptowalut BitBay, Poloniex i Bittrex.
Mówiąc prościej - ściągnięte przez nas złośliwe oprogramowanie ma możliwość przejęcia bez naszej wiedzy danych do logowania na wybranych stronach, takich jak m.in:
- Alior Bank
- BOŚ Bank
- BGŻ BNP Paribas
- BitBay
- Bittrex
- Citi Hanldowy
- Getin Bank
- mBank
- PKO Bank Polski
- Poloniex
- SKOK
Przykład webinjectu przygotowanego dla strony bitbay.net z zaznaczonym złośliwym skryptem
W przypadku banku PKO i jego serwisu internetowego iPKO, złośliwy skrypt podmienia całą witrynę na fałszywą, która przesyła oszustom wpisane dane do logowania.
Uwaga na portfele!
To jednak nie wszystko - opisywany wirus jest w stanie również śledzić procesy komputera związane z otwieraniem aplikacji portfeli wybranych kryptowalut i przejąć np. nasze klucze prywatne, wykonując kompletnie bez naszej wiedzy zrzuty ekranu i wysyłając je na serwer oszustów.
Wirus śledzi procesy systemowe powiązane z takimi kryptowalutami jak m.in.:
- Ethereum (ETH)
- Bitconnect (BCC)
- Zcash (ZEC)
- Ignition (IC)
- Expanse (EXP)
Jak nie dać się okraść?
- nigdy nie pobierać załączników z maili nieznanego pochodzenia - jeśli masz wątpliwości, sprawdź dokładnie kim jest osoba i firma od której otrzymałeś wiadomość
- nie pobieraj załączników w formie plików zarchiwizowanych (ZIP, RAR)
- nigdy nie otwieraj plików z rozszerzeniem .js - na pewno nie znajdziesz w nich dokumentów, zdjęć, czy arkuszy
- korzystaj z oprogramowania antywirusowego i regularnie go aktualizuj
- włącz podwójną autoryzację (2FA)
Czym jest phishing?
Jest to próba wyłudzenia poufnych informacji (np. danych do logowania) poprzez podszywanie się pod prawdziwą stronę. Oszuści klonują oryginalną witrynę, chcąc zebrać dane nieświadomych użytkowników, którzy zostawią na fałszywej stronie swoje prawdziwe dane do logowania. Popularnym rodzajem phishingu jest też wysyłanie maili podszywających się pod pracowników obsługi serwisu, z linkiem odsyłającym do fałszywej strony logowania lub wysyłanie wiadomości z zainfekowanymi załącznikami. Schemat jest ten sam, a wina zawsze po naszej stronie – żadna giełda kryptowalut lub bank nie poczują się odpowiedzialni za to, że sami podaliśmy cyberprzestępcom nasze poufne dane. Phishing oparty jest na tzw. inżynierii społecznej, co oznacza, że wykorzystuje on socjotechniki, mające osłabić czujność, wywołać zainteresowanie lub wywołać emocje u atakowanego, tak aby ten dokonał zaplanowanych przez atakujących czynności - pobrał plik, kliknął w link, przekazał swoje dane etc.
Jeśli chcesz zapewnić sobie bezpieczeństwo i przygotować swój komputer do bezpiecznego operowania kryptowalutami (i nie tylko), zapraszam do lektury mojego artykułu z 13. wydania magazynu FXMAG:
Czytaj także: Nie daj się okraść! Jak bezpiecznie posługiwać się kryptowalutami?
Więcej informacji technicznych na temat opisywanego konia trojańskiego DanaBot znajdziesz w artykule na portalu Zaufana Trzecia Strona.
Szukasz miejsca gdzie swobodnie możesz dyskutować o kryptowalutach, bitocoinie, tokenach oraz ICO?
