Tak sprytnego ataku phishingowego w Polsce chyba jeszcze nie było

Polskie kancelarie prawnicze zostały wzięte na celownik przez cyberprzestępców, którzy spróbowali osiągnąć cel stosując wymyślny atak phishingowy.

Serwis Zaufana Trzecia Strona opisał nowy atak phishingowy, którego celem była jedna z kancelarii prawniczych. W odróżnieniu od innych podobnych prób mamy tutaj do czynienia z profesjonalnie przygotowaną kampanią a nie atakiem polegającym na wysłaniu maila z kilkoma zdaniami łamaną polszczyzną zachęcającymi do odwiedzenia jakiejś strony, czy też otworzenia załącznika.

Na skrzynkę wspomnianej kancelarii trafił mail, którego nadawca podpisujący się jako Marek Błaszczyk przedstawia się jako przedstawiciel zagranicznej firmy zamierzającej otworzyć oddział w Polsce. Prosi przy tym o cennik i zakres usług kancelarii. W odpowiedzi na mail zawierający te informacje cyberprzestępca przesłał kolejną wiadomość z bardziej szczegółowymi informacjami na temat firmy, którą ponoć reprezentuje, oddziału otwieranego w Polsce i zakresu ewentualnej współpracy. Towarzyszy temu link do pliku .doc mającego zawierać szczegółowy rozpis zadań oraz umowę wstępną.

Na szczęście adwokat z atakowanej kancelarii zaczął coś podejrzewać i najpierw skontaktował się z serwisem Zaufana Trzecia Strona. Jego redaktorzy otworzyli przesłany link. Uruchomiła się strona wyglądająca jak czytnik PDF i pojawił ekran ładowania dokumentu pakietu Office. Niestety po chwili wyskoczyła informacja o błędzie i zachęta do pobrania nowszej wtyczki. Pobrany instalator faktycznie odpowiadał za instalację wtyczki, lecz dodatkowo uruchamiał aplikację o nazwie DONEAPP.EXE.

Analizą tego dodatku zajął się na prośbę serwisu Łukasz Siewierski z zespołu CERT Polska, który odkrył, że zawiera on złośliwe oprogramowanie Smoke Loader, które jest dropperem i służy do dystrybucji innego złośliwego oprogramowania.

Dokładną analizę kodu złośliwego oprogramowania Smoke Loader znajdziecie na stronie CERT Polska.

Podsumowując, mamy tutaj do czynienia z naprawdę dobrze prowadzoną kampanią w języku polskim. Cyberprzestępcy nie atakują od razu ofiary złośliwym kodem, lecz podtrzymują kontakt mailowy starając się zdobyć zaufanie. Ponadto przygotowali stronę internetową, która zawiera dane zgodne z tymi umieszczonymi w pierwszej wiadomości. Warto też zauważyć, że celem ataku nie byli zwykli internauci ale kancelarie prawnicze (wiadomo o kilku takich przypadkach).

Obecnie strona wspomnianej zagranicznej firmy nie jest już dostępna. Ponadto kliknięcie w link prowadzący do złośliwego pliku prowadzi do następującego komunikatu:

Finał nieudanego ataku phishingowego na kancelarie prawnicze

Finał nieudanego ataku phishingowego na kancelarie prawnicze

Nie ma się co dziwić, że atakujący nie korzystał z translatora. Ponadto jest niezwykle skromny...


Zobacz również