Uwaga na fałszywe e-maile od BNP Paribas

CERT Orange Polska ostrzega przed nową falą ataków phishingowych, w których cyberprzestępcy podszywają się pod BNP Paribas Bank Polska S.A. Celem ataku jest dystrybucja złośliwego oprogramowania, które może prowadzić do kradzieży poufnych danych użytkowników.

Jak działa atak?

W ramach kampanii użytkownicy otrzymują fałszywe wiadomości e-mail zawierające informację o rzekomo zrealizowanym przelewie. Wiadomość zawiera link do pobrania pliku „bnp_paribas,pdf.7z” z zewnętrznego serwera.

Po rozpakowaniu archiwum użytkownik znajdzie w nim skrypt VBS, którego uruchomienie inicjuje łańcuch infekcji:

1. Uruchamiany jest zakodowany PowerShell z pliku .bat.
2. Za pomocą IEX (Invoke Expression) pobierany jest drugi skrypt PowerShell, który wyłącza moduł antymalware AMSI.
3. Skrypt odszyfrowuje kod malware kluczem AES-256 (CBC) z pliku .bat.
4. Następnie wykorzystuje Reflection.Assembly.Load do załadowania Remcos RAT w pamięci.

Skutki infekcji

Po uruchomieniu Remcos.RAT złośliwe oprogramowanie dodaje się do aplikacji startowych systemu:

C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartupScript_216d4594.cmd

Dodatkowo zapisuje klucz licencyjny do rejestru, co wskazuje na wykorzystanie modelu Malware-as-a-Service:

HKEY_CURRENT_USER\SOFTWARE\RMC-J4I3IV

Po zakorzenieniu w systemie, malware rozpoczyna skanowanie aplikacji i systemu w poszukiwaniu zapisanych poświadczeń, kluczy sesji, plików cookie oraz wykonuje zrzuty ekranu. Wykradzione dane są gromadzone w katalogu:

C:\ProgramData\remcos\logs.dat

i przekazywane do serwera command and control:

abokirem[.]duckdns[.]org:56379

Jak się chronić?

• Nie otwieraj podejrzanych wiadomości e-mail i nie klikaj w załączone linki.
• Zawsze sprawdzaj adres nadawcy i autentyczność przesyłanych informacji.
• Upewnij się, że masz zaktualizowane oprogramowanie antywirusowe.
• Regularnie monitoruj aktywność swojego konta bankowego oraz innych kluczowych usług online.

Remcos.RAT to jedno z najczęściej wykorzystywanych narzędzi przez cyberprzestępców do kradzieży danych. Zachowaj szczególną ostrożność i zgłaszaj podejrzane wiadomości do odpowiednich służb.