Urząd Skarbowy przysłał ci e‑mail? Możesz mieć kłopoty

Analitycy z firmy ESET zbadali zagrożenie. W załączniku szkodliwych e-maili znajduj się trojan Danabot - jeden z klasycznych trojanów bankowych. Szkodliwy program kradnie m.in. loginy i hasła dostępowe do polskich rachunków bankowych.

Nadawcą wiadomości jest rzekomo Urząd Skarbowy, a e-mail zawiadamia o zamiarze wszczęcia wobec odbiorcy kontroli.

W załączniku znajduje się dokument z zagrożeniem klasyfikowanym jako VBS/TrojanDownloader.Agent.RKY, ten skrypt z kolei pobiera i instaluje właściwy trojan. Jest to rzekomo lista dokumentów potrzebnych przy stawieniu się w Urzędzie Skarbowym w wyznaczonym terminie.

Analitycy z firmy ESET pokazali przykłady e-maili pochodzących z tej kampanii. Tytuł wiadomości brzmi: "INFORMACJA O ZAMIARZE WSZCZECIA KONTROLI SKARBOWEJ" (pisownia oryginalna). Nadawca informuje, że nie udało mu się skontaktować z podatnikiem, dlatego wyznacza termin kontroli na… 18 czerwca 2016 roku. To prawdopodobnie kopia starszej kampanii, gdzie cyberprzestępcy nie poprawili daty.

W treści e-maila cyberprzestępcy powołują się na "art. 92a ustawy z dnia 13 pazdziernika 1998r. (Dz. U. z 2007 r., Nr 11, poz.74 z pózn. zm.)" (pisownia oryginalna).

Nadawcą wiadomości zawsze jest mgr Marzena Fierek, ale e-maile są rozsyłane z losowych adresów e-mail.

Trojan Danabot ma w Polsce długą historię. W czerwcu zeszłego roku, był wykorzystywany przez cyberoszustów w kampanii spamowej, której nadawca podszywał się pod towarzystwo ubezpieczeniowe Ergo Hestia. Aktualnie mamy do czynienia z kolejną falą ataków, tym razem na klientów polskich banków. W przeszłości wirus atakował też klientów banków z Włoch, Niemiec, Austrii, czy Ukrainy.

- Danabot jest złożony z wielu elementów, tzw. wtyczek. Każda z nich odpowiada za jedną z funkcji trojana m.in. za możliwość łączenia się twórcy zagrożenia z komputerem ofiary i jego zdalne sterowanie, wstrzykiwanie złośliwego skryptu do przeglądarki, który uruchamia się w trakcie logowania do bankowości internetowej, zbieranie loginów i haseł z różnych aplikacji, czy instalację serwera proxy sieci TOR – tłumaczy Kamil Sadkowski, starszy analityk zagrożeń w ESET.

ESET uspakaja. Zagrożenie jest znane. Programy antywirusowe wykrywają je bez problemu i blokują jego działania.

Jeśli zdarzyło ci się otworzyć załącznik i podejrzewasz, że twój komputer został zainfekowany, skorzystaj z programu antywirusowego lub skanera online.