Kampania złośliwego oprogramowania Danabot

Kampania złośliwego oprogramowania Danabot

Kampania złośliwego oprogramowania Danabot trwa nieprzerwanie od czerwca. W tym okresie cyberprzestępcy nieustannie rozsyłają wiadomości spam, mając na celu zainfekowanie kolejnych komputerów. Przestępcy następnie mogą przejąć dane logowania do bankowości użytkownika zainfekowanego komputera i wykraść pieniądze z jego konta bankowego.

Do tej pory były to wiadomości email podszywające się pod różne firmy. Do wiadomości załączane były archiwa RAR, który miały być rzekomymi fakturami. W rozpakowanym archiwum znajdował się skrypt VBS, którego uruchomienie skutkowało infekcją systemu operacyjnego.

Przykładowa wiadomość spam z załącznikiem w archiwum RAR
spam_danabot

Aktualna kampania Danabot

W ostatnich dniach zaobserwowaliśmy wzmożoną kampanię spamu. Tym razem jednak cyberprzestępcy nieco zmodyfikowali schemat ataku. Wiadomości nadal informują o rzekomej fakturze lub wymaganej dopłacie, jednak tym razem użytkownik jest zachęcany do kliknięcia w załączony adres URL.

Przykładowa wiadomość spam, jaką rozsyłają cyberprzestępcy
Spam

Po kliknięciu w widoczny w wiadomości link następuje przekierowanie do strony, skąd pobierane jest archiwum ZIP z rzekomą fakturą. Użytkownik, gdy rozpakuje pobrany plik otrzymuje skrypt VBS.

Podglad_pliku

Uruchomienie pliku VBS przez nieświadomego zagrożenia użytkownika skutkuje infekcją systemu operacyjnego przez malware Danabot. Jest to złośliwe oprogramowanie przy użyciu, którego cyberprzestępcy mogą przejąć kontrolę nad zainfekowanym komputerem oraz wykraść z niego poufne dane, w tym dane logowania do bankowości.

Cyberprzestępcy, mając dane logowania do Twojego konta mogą wykraść z niego pieniądze. Najczęściej środki te są przelewane na konta tzw. mułów, a następnie zamieniane na kryptowaluty. Często skradzione w ten sposób pieniądze są nie do odzyskania, bowiem cyberprzestepcy stosują szereg zabezpieczeń, które uniemożliwiają ich zidentyfikowanie.

Złośliwe oprogramowanie Danabot atakuje nie tylko polskie bankowości. Zawiera także definicje ataku na bankowości we Włoszech, Niemczech oraz Austrii. Ponadto malware wykrada także dane logowania do popularnych giełd kryptowalut.

Jeśli otrzymałeś podejrzaną wiadomość z linkiem, bądź załącznikiem poinformuj nas o tym za pośrednictwem strony https://zglosincydent.pl

Zgłoś Incydent

Za pośrednictwem tego formularza, możesz zgłosić adres strony internetowej lub treść otrzymanej wiadomości. Przesyłając do nas zgłoszenie możesz przyczynić się do zwiększenia bezpieczeństwa w internecie. Eksperci zweryfikują Twoje zgłoszenie i pomogą w rozwiązaniu problemu.

Bądź z nami na bieżąco