"Przestępcy rozsyłają e-maile zawierające link do prezentacji na Google Drive, który jest rzekomą fakturą od prawdziwego podmiotu (dane pobrane z publicznych wykazów firm)" - czytamy w komunikacie CERT Polska.
Jak wygląda przykładowa fałszywa wiadomość? Po wejściu na prezentację, pojawia się kolejny odnośnik, tym razem do wspomnianego Brushaloadera. Ten z kolei na ostatnim etapie ściąga docelowe złośliwe oprogramowanie typu banker, które łączy się z domenami maiamirainy[.]at i drunt[.]at. Po infekcji malware zbiera informacje o wciskanych klawiszach, zawartości schowka i aktywuje się na najpopularniejszych portalach bankowości elektronicznej, w celu kradzieży pieniędzy.
Dodatkowy krok z użyciem Google Drive, który opisaliśmy powyżej, ma uśpić naszą czujność, a także zmylić automatyczne systemy detekcji złośliwego oprogramowania.
Uważajcie, ostrzeżcie znajomych i pamiętajcie o zgłaszaniu incydentów pod adresem https://incydent.cert.pl.
