DNSC avertizează asupra unei campanii de phishing mascată în mesaje de la firme de avocatură

Directoratul Național de Securitate Cibernetică (DNSC) a semnalat, recent, o nouă campanie de phishing desfășurată prin e-mail, în care atacatorii se prezintă drept reprezentanți ai unor firme de avocatură. Mesajele trimise au ca subiect „Avertisment Încălcare a Drepturilor de Proprietate Intelectuală” și conțin un link scurt care, după o serie de redirecționări, duce la descărcarea unui fișier arhivat ce conține malware periculos.

Cum funcționează atacul?
Linkul din e-mail redirecționează utilizatorul prin mai multe adrese web până la o pagină de unde se descarcă un fișier ZIP numit „Verdikto katar o rodipe.zip”. Acesta conține mai multe fișiere executabile și certificate digitale, printre care:

• „Komentarura katar o rodipe.exe” – aplicație executabilă
• „vcruntime140.dll” și „version.dll” – biblioteci DLL
• „Document.pdf” – certificat PEM
• „Images.png” – executabil PE32+ pentru arhitectură x86-64

Crăciun low-cost, efecte scumpe: cele 4,6 miliarde de colete din China sufocă UE

21:02

Cum l-a fermecat pe Trump „un negociator” din Silicon Valley și a redefinit viitorul Intel

20:01

„La rulare, aplicația de tip malware activează un proces cmd.exe, care injectează un cod elaborat în limbajul Python, la nivelul svchost.exe. Acesta încarcă un modul purehvnc prin RegAsm.exe, pentru ca sistemul infectat să poată fi controlat de la distanță”, explică DNSC

Funcționalități periculoase ale malware-ului

• Furt de date din browsere: Malware-ul atașează un debugger la procesele browserelor (Chrome, Edge), extrăgând cookie-uri, token-uri de sesiune și date de autentificare salvate.
• Capturi de ecran: La intervale regulate sau la anumite acțiuni, sunt realizate capturi ale ecranului victimei, care sunt trimise atacatorilor.
• Comunicare prin Telegram: Datele furate sunt transmise prin intermediul unui bot Telegram, folosind API-uri specifice.
• Acces remote: Modulul purehvnc permite atacatorilor să se conecteze la desktop-ul victimei prin porturile 56001-56003.
• Exfiltrare chei private: Malware-ul caută extensii de portofele criptografice instalate în browser și extrage cheile private, facilitând furtul de fonduri digitale.
• Ascunderea activității: Folosirea CertUtil pentru decodarea payload-ului în Base64 și modificarea funcției AmsiScanBuffer împiedică detectarea malware-ului de către soluțiile antivirus.

Impactul asupra utilizatorilor

Prin aceste metode, atacatorii pot prelua controlul asupra conturilor online ale victimei, inclusiv cele de e-commerce, email, platforme financiare sau rețele sociale, fără a mai fi nevoie de autentificări suplimentare. De asemenea, pot instala ransomware, blocând accesul la date și solicitând recompense pentru deblocare.

Recomandări pentru prevenție

Directoratul Național de Securitate Cibernetică recomandă:

• Evitarea deschiderii atașamentelor suspecte, în special cu extensiile .exe, .bat, .rar, .zip, .js din e-mailuri necunoscute.
• Utilizarea filtrelor de securitate pentru e-mailuri și blocarea extensiilor periculoase.
• Actualizarea constantă a sistemelor de operare și a aplicațiilor.
• Segmentarea rețelei pentru a limita răspândirea eventualelor atacuri.
• Monitorizarea traficului de rețea și activarea alertelor pentru activități suspecte.
• Instruirea angajaților în identificarea mesajelor de tip phishing.
• Realizarea regulată a copiilor de siguranță (backup) și stocarea lor în medii separate.
• Implementarea soluțiilor avansate de securitate, precum Sandbox și sisteme DLP (Data Loss Prevention).

Această campanie de phishing sofisticată subliniază necesitatea unei vigilențe sporite și a unor măsuri proactive pentru protejarea datelor și a sistemelor informatice atât în mediul profesional, cât și în cel personal.