Cyberprzestępcy na swój kolejny cel wybrali sobie klientów Poczty Polskiej wysyłając do nich maile z zainfekowanym załącznikiem.

Mail, pochodzący rzekomo od Poczty Polskiej, informuje o wysłaniu przesyłki, kwocie pobrania, a także terminie odbioru paczki. Dodatkowo w załączniku znajduje się archiwum ZIP, zawierające plik, który ma udawać fakturę. Tak naprawdę, klikając w plik znajdujący się w archiwum, instalujemy na komputerze złośliwe oprogramowanie. Po tym, jak zagrożenie zostanie uruchomione na komputerze, dodaje wpis do rejestru, który powoduje automatyczne uruchamianie zagrożenia przy każdym starcie systemu Windows. Zagrożenie regularnie kontaktuje się ze zdalnym serwerem w oczekiwaniu na polecenia: pobrania danego pliku, uruchomienia pliku, przesłania zgromadzonych danych czy aktualizacji do najnowszej wersji.

"Zagrożenie zbiera dane w systemie ofiary, m.in. informacje o systemie operacyjnym i użytkowniku systemu, a także ciasteczka z popularnych przeglądarek internetowych oraz dane logowania do skrzynek mailowych. Następnie wszystkie zebrane dane, loginy i hasła przesyła na zdalny serwer - mówi Kamil Sadkowski, analityk zagrożeń z firmy ESET.

Eksperci ESET oznaczyli zagrożenie jako Win32/PSW.Papras.CK i nie jest to pierwszy przypadek występowania zagrożenia tak sklasyfikowanego. Pierwszą detekcję podobnego zagrożenia ESET wykrył już w 2013 roku i posiadało ono zbliżone funkcjonalności do tego wysyłanego w imieniu Poczty Polskiej.

[Łukasz Szewczyk]