NASK ostrzegła w środę przed oszustami podszywającymi się pod Główny Urząd Statystyczny. Przestępcy rozsyłają wiadomości e-mail podszywające się pod adres GUS, w których informują odbiorcę o objęciu jego firmy obowiązkiem sprawozdawczym wobec GUS.
Zespół CSIRT (Computer Security Incident Response Team) Naukowej i Akademickiej Sieci Komputerowej poinformował w środę, że obserwuje nową kampanię wiadomości e-mail, mającą na celu dystrybucję szkodliwego oprogramowania.
„Potencjalna ofiara otrzymuje na swój adres e-mail wiadomość, rzekomo od Głównego Urzędu Statystycznego, o objęciu jej obowiązkiem sprawozdawczym, zgodnie z którym musi wypełnić elektroniczny formularz zgłoszenia, zamieszczony w załączniku wiadomości. W celu uwiarygodnienia wiadomości nadawca powołuje się na szereg przepisów prawnych i zamieszcza linki prowadzące do rzeczywistej strony Biuletynu Informacji Publicznej” – czytamy w informacji.
Eksperci zwracają uwagę, że oszuści podszywają się pod adres GUS-Portal@info.stat.gov.pl i dodają, że w załączniku wiadomości znajduje się plik wykonywalny w postaci archiwum o nazwie „Elektroniczny formularz zgłoszenia.exe”.„ W rzeczywistości mamy do czynienia ze szkodliwym oprogramowaniem GuLoader/CloudEyE” – informuje NASK.
Dodaje, że jego zadaniem jest jedynie zweryfikowanie, czy program nie został uruchomiony w środowisku wirtualnym, a następnie pobranie właściwego pliku ze złośliwym oprogramowaniem z zewnętrznej strony i uruchomienie go.
„Szkodliwe oprogramowanie, które jest pobierane w ostatniej fazie infekcji, pochodzi z rodziny Agent Tesla/OriginLogger. Charakteryzuje się ona wykradaniem danych wrażliwych z komputera ofiary m.in. zapisanych haseł i ciasteczek z przeglądarki, informacji o systemie, a także haseł z najpopularniejszych aplikacji. W kolejnym etapie dane te są eksfiltrowane za pomocą jednej z wielu dostępnych metod takich jak wysyłanie maili (SMTP), serwer FTP albo nawet korzystając z możliwości API takich platform jak Telegram czy Discord” – wskazuje NASK.
W przypadku zainfekowania komputera szkodliwym oprogramowaniem NASK radzi, by w pierwszej kolejności odłączyć urządzenie od sieci, zarówno tej przewodowej, jak i bezprzewodowej. Następnie, wykorzystując inne niezainfekowane urządzenie, należy zmienić wszystkie hasła, które były zapisane w przeglądarce i innych aplikacjach, a także tych, które były podawane już po infekcji szkodliwym oprogramowaniem.
„Sugerujemy wykonanie kopii zapasowej danych, następnie przeinstalowanie systemu operacyjnego i przywrócenie najważniejszych danych ze wspomnianej kopii zapasowej” – zaznaczają eksperci. Dodają, że alternatywnie zainfekowane urządzenie można przeskanować za pomocą programu antywirusego. „W systemie Windows można wykorzystać do tego wbudowany program Windows Defender. Jednak warto pamiętać, że nie daje to gwarancji pełnego usunięcia szkodliwego oprogramowania” – wskazano.
Zamieszczone na stronach internetowych portalu https://opoka.org.pl/ i https://opoka.news materiały sygnowane skrótem „PAP" stanowią element Serwisów Informacyjnych PAP, będących bazami danych, których producentem i wydawcą jest Polska Agencja Prasowa S.A. z siedzibą w Warszawie. Chronione są one przepisami ustawy z dnia 4 lutego 1994 r. o prawie autorskim i prawach pokrewnych oraz ustawy z dnia 27 lipca 2001 r. o ochronie baz danych. Powyższe materiały wykorzystywane są przez Fundację Opoka na podstawie stosownej umowy licencyjnej. Jakiekolwiek ich wykorzystywanie przez użytkowników portalu, poza przewidzianymi przez przepisy prawa wyjątkami, w szczególności dozwolonym użytkiem osobistym, jest zabronione. PAP S.A. zastrzega, iż dalsze rozpowszechnianie materiałów, o których mowa w art. 25 ust. 1 pkt. b) ustawy o prawie autorskim i prawach pokrewnych, jest zabronione.