W ostatnich dniach CERT Orange Polska (Computer Emergency Response Team) potwierdził odkrycie niebezpiecznej kampanii wymierzonej w użytkowników PKO BP. Sprawcy bazują na zaawansowanym złośliwym oprogramowaniu Quasar RAT (Remote Access Trojan), które pozwala im na zdalne przejęcie kontroli nad komputerem ofiary.

Quasar RAT, napisany w języku C#, jest szeroko dostępny jako oprogramowanie open-source. Jego funkcjonalności umożliwiają przechwytywanie zapisanych haseł, rejestrowanie wszystkich naciśnięć klawiszy oraz uzyskanie pełnego dostępu do plików i terminala komputera. To niebezpieczne narzędzie stwarza wyjątkowo poważne zagrożenie dla bezpieczeństwa danych osobowych użytkowników.

Eksperci z CERT Orange Polska podjęli działania po tym, jak przechwycili zmodyfikowaną wiadomość e-mail, która rzekomo pochodziła od PKO BP. Złośliwy plik załączony do wiadomości używał zmyślnego sposobu ukrycia swojego prawdziwego rozszerzenia. W rzeczywistości był to plik archiwum LHA z ukrytym plikiem wykonywalnym EXE, co jest typowym sposobem na oszukanie potencjalnych ofiar.

Komputer ofiary, po uruchomieniu złośliwego pliku, łączy się z zewnętrznym serwerem, z którego pobierany jest właściwy ładunek szkodliwego oprogramowania. Resztki poprzednich ataków sugerują, że przestępcy mogą korzystać z tej samej infrastruktury do dystrybucji różnych typów malware, co stawia ich w szeregu z organizacjami, które wcześniej wykorzystywały wyjątkowo niebezpieczne oprogramowanie, takie jak AgentTesla.

W wyniku infekcji, złośliwe oprogramowanie nie tylko przejmuje kontrolę, ale również instaluje się na komputerze, aby w przyszłości móc działać niezauważenie. W przypadku klientów PKO BP oznacza to poważne ryzyko kradzieży danych bankowych oraz możliwości przeprowadzania nieautoryzowanych transakcji.

CERT Orange Polska apeluje o ostrożność przy otwieraniu załączników w e-mailach, nawet gdy wydają się pochodzić z zaufanych źródeł. Użytkownicy są zachęcani do bezpośredniego kontaktu z bankiem w celu weryfikacji każdej podejrzanej wiadomości. Przypominamy również, aby nigdy nie podawać swoich danych uwierzytelniających w odpowiedzi na wiadomości e-mail, które wyglądają podejrzanie.

Zagrożenie nadal jest aktualne, więc zachowajcie czujność - wasze bezpieczeństwo online jest najważniejsze! Masz informacje lub zauważyłeś podejrzane zachowania? Skontaktuj się z nami!