CERT-RO atrage atenţia asupra unei campanii de răspândire de malware ce vizează clienţii unor bănci

Specialiştii Centrului Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO) atrag atenţia asupra unei campanii de răspândire de malware prin intermediul e-mail-ului, ce vizează clienţii unor bănci, potrivit unui comunicat de presă.

CERT-RO explică: “Clienții băncilor din România continuă să fie ținta atacatorilor cibernetice. Dacă săptămâna trecută, echipa CERT-RO a emis o alerta online despre atacuri de phishing care vizau accesul nepermis la contul utilizatorilor de internet banking, acum dorim să vă atragem atenția asupra unei campanii de răspândire de malware, prin intermediul căsuțelor de e-mail.

Concret, un utilizator primește pe mail un mesaj în care este informat despre faptul că s-a efectuat o plată din contul lui, iar în atașamentul anexat acelui e-mail poate accesa ordinul de plată, precum și informații suplimentare despre tranzacție.

Sigur, acest mesaj este unul transmis de către atacatori, conceput pentru a părea că a fost expediat legitim de către bancă, prin copierea identității vizuale (font, logo, adresa), cu scopul de a nu ridica suspiciuni destinatarului.

Aflat în fața acestei informații, utilizatorul se poate speria că i-au fost sustrași bani din cont și este posibil să acționeze pripit, accesând acel atașament malițios din mail, care va duce automat la instalarea unei variante de malware. Atașamentul denumit ‘ordin de plată’ nu este un document, așa cum se susține în e-mail, ci un fișier executabil (.exe), care va instala pe dispozitive varianta de malware denumită ‘Agent Tesla’.

Acest malware care are abilitatea de a înregistra ceea ce tastează utilizatorul pe dispozitiv, dar și ce text copiază pe clipboard, iar aceste informații sunt transmise mai departe către un server de comandă și control (C2), manevrat de atacatori. Practic, atunci când utilizatorul se conectează pe conturile personale sau ale companiei pentru care lucrează, acele credențiale pot ajunge în posesia atacatorilor.

Recomandări

1. Pentru a evita astfel de situații, echipa CERT-RO recomandă vigilență, atunci când se acționează în mediul online. Este important să circumspect deoarece poți primi mesaje-capcană prin diverse canale – e-mail, SMS, rețele sociale, apeluri telefonice – de la persoane care pretind a fi angajați ai băncii sau intermediari din partea băncii, sau a altor instituții renumite etc. Analizează, înainte de a face clic!
2. Dacă primiți un e-mail sau un mesaj din partea băncii, verificați în primul rând sursa mesajului, din header-ul mail-ului (pe cât posibil). Uneori expeditorul real este ascuns, adresa fiind spoofed, dar alteori atacatorii se folosesc de un alias, adresa reală fiind ușor vizibilă la accesarea sursei acelui mail. Așadar, accesați butonul view source (vizualizează sursa mesajului) din clientul de mail sau din browserul de internet, pentru a detecta adresa reală a expeditorului. Așa cum se poate observa din imaginile anexate, e-mail-ul exemplificat provenea de la o adresă fără nicio legătură oficială cu banca pe care o impersonează (taller[@]agricolafargas[.]com)
3. Dacă aveți suspiciuni cu privire la mesajul primit, verificați informația, inclusiv validarea transmiterii ei către dvs., cu expeditorul.
4. Folosiți o soluție de securitate pe dispozitive (antivirus sau antimalware) pentru a scana eventuale link-uri sau atașamente malițioase. Alternativ, puteți accesa o astfel de soluție disponibilă gratis online, precum VirusTotal.
5. Mențineți sistemul de operare și software-ul de pe dispozitive actualizat
6. Efectuați regulat copii de siguranță a fișierelor importante și stocați această copie pe un mediu extern, deconectat de la dispozitiv.
7. Dacă ați căzut victimă a unui atac de acest tip și sesizați că v-au fost extrași bani din cont, este important să contactați cât mai repede banca, Poliția (petitii@politiaromana[.]ro) și CERT-RO (pe e-mail la alerts@cert[.]ro sau la numărul de urgență 1911 dedicat incidentelor de securitate cibernetică).”