Cyberprzestępcy na swój kolejny cel wybrali sobie klientów Poczty Polskiej wysyłając do nich maile z zainfekowanym załącznikiem. Jak podają eksperci z laboratorium Eest w Krakowie, zagrożenie rozsyłane na terenie Polski w imieniu Poczty wykryto od wczoraj ponad 15 tysięcy razy.
Mail, pochodzący rzekomo od Poczty Polskiej, informuje o wysłaniu przesyłki, kwocie pobrania, a także terminie odbioru paczki. Dodatkowo w załączniku znajduje się archiwum ZIP, zawierające plik, który ma udawać fakturę. Tak naprawdę, klikając w plik znajdujący się w archiwum, instalujemy na komputerze złośliwe oprogramowanie. Po tym, jak zagrożenie zostanie uruchomione na komputerze, dodaje wpis do rejestru, który powoduje automatyczne uruchamianie złośliwego programu przy każdym starcie systemu Windows. Aplikacja regularnie kontaktuje się ze zdalnym serwerem w oczekiwaniu na polecenia: pobrania danego pliku, uruchomienia pliku, przesłania zgromadzonych danych czy aktualizacji do najnowszej wersji.
- Zagrożenie zbiera dane w systemie ofiary, m.in. informacje o systemie operacyjnym i użytkowniku systemu, a także ciasteczka z popularnych przeglądarek internetowych oraz dane logowania do skrzynek mailowych. Następnie wszystkie zebrane dane, loginy i hasła przesyła na zdalny serwer –. mówi Kamil Sadkowski, analityk zagrożeń z Eset.
Eksperci oznaczyli zagrożenie jako Win32/PSW.Papras.CK i nie jest to pierwszy przypadek występowania zagrożenia tak sklasyfikowanego. Pierwszą detekcję podobnego zagrożenia wykryto już w 201. roku i posiadało ono zbliżone funkcjonalności do tego wysyłanego w imieniu Poczty Polskiej.
