Gdy pracownicy mają do czynienia z setkami e-maili, ich załączniki odczytują i pobierają niemal automatycznie. Wykorzystują to oczywiście cyberprzestępcy, wysyłając pozornie ważne dokumenty, które mogą zawierać prawie wszystko — od łączy prowadzących do stron wyłudzających informacje po szkodliwe oprogramowanie. Niedawno nasi eksperci odkryli dwie bardzo podobne kampanie spamowe dystrybuujące trojany bankowe IcedID i Qbot.
Spam zawierający szkodliwe dokumenty
Oba e-maile udawały korespondencję biznesową. W pierwszym przypadku napastnicy żądali odszkodowania z wyimaginowanego powodu lub wspominali coś o anulowaniu operacji. Do wiadomości dołączony był spakowany plik Excel o nazwie CompensationClaim, a także jakieś liczby. Druga wiadomość spamowa nawiązywała do płatności i umów i zawierała link do zhakowanej strony internetowej, na której przechowywane było archiwum zawierające dokument.
W obu przypadkach celem atakujących było nakłonienie odbiorcy do otwarcia szkodliwego pliku programu Excel i uruchomienia znajdującego się w nim makra, co powodowało pobranie na komputer ofiary programu IcedID lub (rzadziej) Qbot.
IcedID i Qbot
Trojany bankowe IcedID i Qbot są już znane od kilu lat. IcedID po raz pierwszy zwrócił uwagę naukowców w 2017 roku, a Qbot jest znany od 2008 roku. Co więcej, napastnicy nieustannie udoskonalają swoje techniki. Na przykład pewnego razu ukryli główny komponent programu IcedID w obrazie PNG za pomocą steganografii, co znacznie utrudniało wykrycie go.
Dzisiaj oba szkodliwe programy są dostępne na czarnym rynku. Oprócz ich twórców trojany te dystrybuuje wielu klientów. Głównym zadaniem tego szkodliwego oprogramowania jest kradzież danych karty bankowej i danych logowania do kont bankowych, najlepiej do kont firmowych (dlatego wiadomości e-mail podszywały się pod korespondencję firmową). Trojany stosują różne sztuczki, na przykład mogą:
- wstrzyknąć szkodliwy skrypt do strony sieci Web, aby przechwycić dane wprowadzane przez użytkownika,
- przekierować użytkowników bankowości internetowej na fałszywą stronę logowania,
- kraść dane zapisane w przeglądarce.
Qbot może również rejestrować naciśnięcia klawiszy w celu przechwycenia haseł.
Niestety, kradzież danych płatniczych to nie jedyny problem, z którym muszą borykać się ofiary. Na przykład IcedID może pobierać na zainfekowane urządzenia inne szkodliwe oprogramowanie, w tym ransomware. Tymczasem Qbot kradnie wątki w poczcie e-mail i wykorzystuje je w kolejnych kampaniach spamowych, zapewniając operatorom dostęp zdalny do komputerów ofiar. Konsekwencje takich infekcji mogą być poważne, w szczególności w przypadku komputerów firmowych.
Jak dbać o ochronę przed trojanami bankowymi
Bez względu na to, jak przebiegli są cyberprzestępcy, nie musisz wymyślać koła na nowo, aby zachować bezpieczeństwo. Obie kampanie spamowe polegają na tym, że nakłaniają odbiorców do podjęcia ryzykownych działań — jeśli nie otworzysz szkodliwego pliku i nie pozwolisz na uruchomienie makra, schemat nie zadziała. Aby nie stać się ofiarą:
- Sprawdzaj tożsamość nadawcy, w tym nazwę domeny. Podejrzana jest na przykład sytuacja, w której jakaś osoba twierdzi, że jest wykonawcą lub klientem firmowym, ale używa adresu w domenie Gmail. Jeśli nie wiesz, kto jest nadawcą, skontaktuj się ze współpracownikami.
- Domyślnie zablokuj uruchamianie makr, a dokumenty, które wymagają włączenia makr lub innej zawartości, traktuj z podejrzliwością. Nigdy nie uruchamiaj makr, chyba że masz całkowitą pewność, że plik ich potrzebuje — i są bezpieczne.
- Zainstaluj niezawodne rozwiązanie zabezpieczające. Jeśli pracujesz na własnym urządzeniu lub Twój pracodawca nie angażuje się w ochronę stacji roboczej, zadbaj o to, aby była ona odpowiednio zabezpieczona. Nasze produkty wykrywają zarówno trojana IcedID, jak i Qbot.