Post Image

Ostrzeżenie przed aktywną kampanią spamową: złośliwe oprogramowanie w e-mailach z zasadami bezpieczeństwa pracy podczas pandemii koronawirusa

2020-10-08 15:56:00

Cyberprzestępcy rozsyłają dokument, rzekomo zawierający zasady bezpieczeństwa pracy w dobie pandemii. Kamuflują go w wiadomościach przypominających oficjalną informację od niemieckiego Ministerstwa Zdrowia. 

Wiadomości e-mail, rzekomo rozsyłane przez Ministerstwo Zdrowia, zawierają złośliwy załącznik. Ma on podawać aktualnie obowiązujące zasady bezpieczeństwa i ochrony przed infekcjami w miejscu pracy. Treść maila jednoznacznie wskazuje grupę docelową hakerów - firmy. Wszystkie przedsiębiorstwa powinny teraz szczególnie uważać, gdy w ich skrzynkach pocztowych pojawiają się wiadomości od władz. Obecnie dostajemy coraz więcej doniesień o tego typu atakach. 

Według oszustów “dzisiaj” miało dojść do spotkania ministrów UE, podczas którego zaktualizowano przepisy dot. bezpieczeństwa. O ile jeszcze samo zgromadzenie mogło mieć miejsce w rzeczywistości, tak wiadomość o nim z pewnością nie zostałaby przekazana za pomocą poczty elektronicznej. Takim działaniom służy odrębny, oficjalny portal władz państwowych. 

Ponadto niebezpieczne maile zawierają mnóstwo błędów ortograficznych. Najczęściej mylone są litery takie jak U, W, C i D, a także znaki diakrytyczne. Również nadawca wiadomości się nie zgadza - jego domena z całą pewnością nie należy do Ministerstwa Zdrowia, nawSpam zawierający szkodliwy załącznik. Nadawcą miało być Ministerstwo Zdrowia. et jeśli adres podany w treści jest prawdziwy. 

Jedynie oficjalne źródła podają prawdziwe informacje o COVID-19. Wiedząc to, łatwo uchronić się przed atakami hakerów. Wszystkie najnowsze wiadomości na temat koronawirusa są gromadzone na stronie https://www.gov.pl/web/koronawirus

Przestępcy nie zwalniają tempa - kolejne szkodliwe e-maile są już w drodze. Przybierają postać listów motywacyjnych. Jedno z wielu nazwisk użytych w domniemanym wniosku to „Claudia Alick”. 

Fakt, że hakerzy wykorzystują pandemię  dla własnych korzyści nie dziwi już chyba nikogo. Początkowo straszyli zagrożone firmy wstrzymaniem wypłat czasowej pomocy finansowej.

Spam zawierający szkodliwy załącznik. Nadawcą miało być Ministerstwo Zdrowia. 

Pełna treść wiadomości

Der vollständige Mailtext lautet wie folgt:

Sehr g=hrte Damen und Herren, 

Die Ges=ndheitsministerinnen und -minister der EU haben sich heute zu den EU =eiten Regeln für den Coronaschutz am Arbeitsplatz ausgetauscht.
Das=Bundesministerium für Gesundheit hat eine neue offizielle Corona-Arbeitsschutzregel vorgelegt. Ab sofort gelten weite=e verbindliche Regeln für den Corona-Schutz am Arbeitsplatz.
Wir bitten Sie, si=h die neuen Regelungen gründlich durchzulesen und das Dokument d=r neuen Corona-Arbeitsschutzregeln für alle Mitarbeiter=in Ihrem Betrieb zugänglich zu machen.

Das Dokument der neu=n Corona-Arbeitsschutzregeln finden Sie im Druckformat (A4) im Anhang=dieser E-Mail.

Sollten Sie Fragen haben, können Si= uns Ihre Nachricht gerne an [email protected](dot)de senden.
Wenn Sie die Sorge haben, sich mit dem Coronavirus infiziert zu haben:=Wenden Sie sich telefonsich an Ihren Hausarzt oder wählen Sie di= Nummer des ärztlichen Bereitschaftsdienstes: 116117.

Mechanizm działania złośliwego kodu

Załącznik zainfekowanej wiadomości zawiera moduł ładujący JScript, który pobiera z internetu kolejne groźne dla systemu programy. Jest to połączenie modułu ładującego o nazwie „Buer” z trojanem bankowym „NuclearBot”. Ten rodzaj złośliwego oprogramowania nie jest nam obcy - mieliśmy z nim kontakt już jakiś czas temu.

Media: