Menu dostępności

Uwaga na fałszywe maile o koronawirusie infekujące komputery!

Uważajcie na fałszywe maile o koronawirusie podszywające się pod organizację WHO, bo możecie zainfekować komputer wirusem TrickBot!

Trwa wzmożona kampania wykorzystująca obawy ludzi przed koronawirusem (COVID-19), która atakuje użytkowników we Włoszech za pomocą szkodliwego oprogramowania. TrickBot, bo o nim mowa, wykrada dane z komputerów. Sprzyjające ku temu okoliczności, czyli panujący na Świecie strach, panika i zamieszanie wokół koronawirusa powoduje, że ludzie stają się mniej czujni na inne zagrożenia. Chętniej przeglądają wszelkie informacje o rozwoju epidemii. To właśnie wykorzystują cyberprzestępcy. Zachęcają odbiorców do otworzenia załączników. We Włoszech, nowa, złośliwa kampania spamowa podszywa się pod lekarza Światowej Organizacji Zdrowia (WHO) – Dr Penelope Marchetti.

Temat wiadomości e-mail to: „Coronavirus: Informazioni importanti su precauzioni” natomiast jej treść zawiera niezbędne informacje oraz środki zapobiegawcze, które ludzie we Włoszech powinni podjąć w celu ochrony przed wirusem Coronavirus.

Powyższy email w języku polskim wyglądałby następująco:

„Szanowni Państwo,

Ze względu na fakt, że odnotowano w Twojej okolicy przypadki zakażenia koronawirusem, Światowa Organizacja Zdrowia przygotowała dokument zawierający wszystkie niezbędne środki ostrożności przeciwko zakażeniu koronawirusem. Zdecydowanie zalecamy przeczytanie dokumentu dołączonego do tej wiadomości!

Z poważaniem, Dr Penelope Marchetti (Światowa Organizacja Zdrowia – Włochy)”



Okazuje się, że załączony do maila dokument Word jest złośliwy i zawiera wirusa. W momencie otworzenia dokumentu użytkownik w celu dostępu do jego treści musi włączyć specjalnym przyciskiem jego zawartość – zostaniemy poinformowani o tym komunikatem „Włącz zawartość”/Enable content.

Po kliknięciu na przycisku na komputerze zostaną wykonane złośliwe makra, które wyodrębnią różne pliki w celu zainstalowania i uruchomienia szkodliwego oprogramowania Trickbot. Schemat ataku przedstawia poniższy ekran.

Po zainstalowaniu TrickBot zbiera różne informacje z zainfekowanego komputera, a następnie próbuje rozprzestrzeniać się w sieci w celu zebrania większej ilości danych. Przypominamy, że w Internecie grasują grupy hackerskie wykorzystujące malware TrickBot do sprzedaży dostępu do komputerów w sieci.

TrickBot w tle pobiera różne moduły, które kradną:

  • pliki cookie,
  • informacje o przeglądarce,
  • klucze OpenSSH,
  • bazę danych usługi Active Directory, dzięki czemu są wstanie rozprzestrzeniać się na inne komputery w firmie.

Po zebraniu sieci wszystkich cennych danych, TrickBot w ostatniej fazie uruchomia PowerShell Empire lub Cobalt Strike, aby umożliwić atakującym dostęp do zainfekowanego komputera poprzez umieszczone w Internecie serwery C2.

TrickBot jest bardzo niebezpiecznym malware, ponieważ udostępnia cyberprzestępcom dostęp do sieci komputerowych. Jeśli wykorzystają oni ransomware Ryuk mogą zaszyfrować pliki wszystkich komputerów w sieci oraz wymuszać okupu, a także wykraść dane osobowe.


Jak się chronić?

Póki co, w przeciwieństwie do Włoch, sytuacja z koronawirusem w Polsce jest znacznie lepsza. Niezależnie od tego bądźcie podejrzliwi wobec wszystkich otrzymywanych wiadomości e-mail i nie otwierajcie żadnych załączników od osób, których nie znacie, bez uprzedniego potwierdzenia, że e-mail jest zgodny z prawem. Tym bardziej jeśli zawiera załącznik/dokument i jest związany z koronawirusem!

Bardziej rozbudowane porady jak się chronić przedstawiliśmy w naszym artykule tutaj.

Pamiętajcie, że czasy, w których panuje chaos i kryzys osłabia w ludziach czujność i dzięki temu łatwiej jesteśmy podatni na inne zagrożenia. Uważajcie i nie dajcie się złapać na to oszustwo!

Popularne

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...
Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Ośmioletnia luka w Samsung KNOX. Miliony urządzeń Galaxy były narażone na ataki!

Badacze odkryli ośmioletnią lukę bezpieczeństwa, dotyczącą niemal wszystkich urządzeń Samsung od Galaxy S9 do S25. Została sklasyfikowana jako podatność o wysokim stopniu zagrożenia – CVSS 7.8. Luka...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Krytyczna luka w Oracle E-Business Suite już wykorzystywana przez cyberprzestępców. Zagrożone systemy finansowe przedsiębiorstw!

Administratorzy korzystający z Oracle E-Business Suite powinni jak najszybciej zweryfikować stan swoich systemów. Eksperci ds. cyberbezpieczeństwa potwierdzili bowiem aktywne wykorzystywanie krytycznej pod...