Najważniejsze
|
Newsy
|
Recenzje
28 stycznia 2025
Opinie: 0
CERT Orange Polska ostrzega przed nową kampanią malware wymierzoną m.in. w polskich internautów.
Cyberprzestępcy wykorzystują zaawansowaną wersję stealera XLoader, który infekuje zarówno systemy Windows, jak i macOS. Atak rozpoczyna się od e-maili podszywających się pod korespondencję biznesową, zawierających fałszywe potwierdzenia przelewów na wysokie kwoty.
XLoader to ewolucja znanego Formbooka. Nowa wersja wyróżnia się ulepszonymi mechanizmami obfuskacji, szyfrowaniem AES-128 oraz komunikacją z serwerem C2 za pomocą żądań GET z zakodowanymi parametrami w URL. Dodatkowo, w odróżnieniu od swojego pierwowzoru, może infekować komputery z systemem macOS.
Scenariusz ataku bazuje na skutecznej socjotechnice – ofiary otrzymują wiadomości napisane poprawną polszczyzną, sugerujące, że dokonały wysokiej płatności. Przestępcy liczą, że zaniepokojeni użytkownicy klikną w zainfekowany załącznik, chcąc wyjaśnić rzekomy błąd w przelewie.
Hakerzy zadbali również o wiarygodność domen, z których rozsyłają XLoadera. Przykładem jest zrembchocjnice[.]pl – adres przypominający prawdziwą domenę, lecz zawierający subtelną literówkę (dodatkowa litera „c”). W kampanii wykorzystano także inne adresy, w tym lonzig[.]com (nieistniejący) oraz alumetal-technik[.]com (prawdziwa witryna, pod którą podszyli się cyberprzestępcy – właściciel strony potwierdził incydent).
CERT Orange Polska informuje, że Polska nie jest jedynym celem tej kampanii. Zidentyfikowano także wersje wiadomości w języku hiszpańskim i rumuńskim, a analiza droppointów wskazuje, że na liście celów znajdują się również kraje anglojęzyczne.
Oznaki naruszenia bezpieczeństwa (Indicators of Compromise):
Załączniki XLoader
Potwierdzenie%20Przekazu-17-Marca-2025.iso
98bcc0404f008e8e90197084ffb81fcb192351174c23ed3d0edcde60df3f495a
Potwierdzenie%20Przekazu-17-Marca-2025.7z
9621426a3c8f7e435d75fb8a47d3a2fedc5d173a3cdc987ea37209c6fe108572
po rozpakowaniu
Potwierdzenie%20Przekazu-17-Marca-2025.js
25b842fd523d43e11b83811f2e57d377719acf7ccee9eb8397242c8bcfec26f1
Landing page
hxxps://www.zrembchocjnice[.]pl/Potwierdzenie%20Przekazu-17-Marca-2025.iso
hxxps://www.zrembchocjnice[.]pl/Potwierdzenie%20Przekazu-17-Marca-2025.7z
C2
hxxp://www.yusufzdemir[.]xyz/a471/
hxxp://www.truecus[.]site/e3wa/
hxxp://www.sonomedgroup[.]online/xwqx/
hxxp://www.irlandesi[.]xyz/iriv/
hxxp://www.bitcoinvendor[.]xyz/hb8i/
hxxp://www.travel-cure[.]sbs/ma7q/
hxxp://www.kdjsswzx[.]club/c7s2/
Opinie:
Rekomendowane:
Akcje partnerskie:
Akcje partnerskie
|
Newsy
3 marca 2025
Jak skutecznie pozbyć się kurzu i alergenów z domu
Akcje partnerskie
|
Newsy
3 marca 2025
Średnia półka, która chce być premium. Czy to się udało?
Akcje partnerskie
|
Newsy
26 lutego 2025
Wybieramy najlepszą ofertę na internet i komórkę dla mikrofirmy
Akcje partnerskie
|
Newsy
27 stycznia 2025