Uwaga na SMS. "Twoje oprogramowanie jest nieaktualne"

CERT Orange Polska ostrzega o trwającej kampanii fałszywych SMS-ów, w której ktoś podszywa się pod firmę Kamsoft i kieruje do spreparowanej strony internetowej. W ten sposób nieświadoma ofiara może pobrać zainfekowane oprogramowanie na komputer, które później wykrada dane.

CERT Orange Polska ostrzega o kolejnym oszustwie, tym razem rozpoczynającym się od wiadomości SMS. Ktoś rozsyła SMS-y, w których podszywa się pod firmę Kamsoft zajmującą się oprogramowaniem. Treść wiadomości sugeruje, że konieczna jest aktualizacja, którą można pobrać pod podanym adresem. Jeśli użytkownik uwierzy, że link e-kamsoft[.]pl jest autentyczny, trafi na spreparowaną stronę internetową.

Przypomina ona do złudzenia prawdziwą stronę firmy Kamsoft. Użytkownik może stąd pobrać "aktualizację", którą w praktyce jest spreparowany plik. Gdy złośliwe oprogramowanie trafi na komputer, później będzie w stanie wykradać z niego prywatne dane ofiary. Jak ustalił CERT Orange Polska, domenę zarejestrowała 30 kwietnia osoba prywatna i kierują do niej dwa adresy IP. Utrzymywana jest w infrastrukturze Cloudflare.

"Atakujący przygotował prostą stronę, nie zawierającą niczego, co mogłoby łączyć ją z podobnymi atakami. Co więcej, domena została przez tydzień "wygrzana", by systemy bezpieczeństwa nie zidentyfikowały jej jako nowej. Dodatkowo oszust zastosował niestandardowe certyfikaty SSL. Mówiąc wprost – nieco bardziej się tu napracował, by osiągnąć większą skuteczność" - tłumaczy zespół CERT Orange Polska na blogu.

Dalsza część artykułu pod materiałem wideo

Fałszywe oprogramowanie, które rozpowszechniane jest w pobieranym pliku EXE to malware Vidar - znany infostealer, ostatnio wykorzystywany między innymi w styczniu bieżącego roku w nietypowym ataku związanym z rezerwacją hoteli przez Booking. Wykradane za jego pomocą dane są bezpośrednio przesyłane na serwer atakującego, który może zrobić z nich dalszy użytek.