W ostatnich dniach ma miejsce kampania skierowana tylko do polskich użytkowników Internetu za pomocą wiadomości e-mail zawierających złośliwe oprogramowanie. Pobiera ono bota o nazwie Betabot, który następnie przekazuje cyberprzestępcy pełną kontrolę nad komputerem ofiary. Celem atakującego jest zdobycie danych oraz zainstalowanie dodatkowych rodzajów malware’u, które potrafią na przykład podmienić numer rachunku bankowego na stronie bankowości elektronicznej.

Wiadomość e-mail

Infekcja rozpoczyna się od otrzymania wiadomości e-mail o tytule:

Przedsadowe Wezwanie do zaplaty z dnia [data]

Przy czym wartość [data] jest uzupełniania zgodnie z aktualną datą. Mail zawiera logo oraz adres jednej z kancelarii prawniczych w Poznaniu. Do wiadomości załączone jest archiwum zip o nazwie takiej samej jak temat wiadomości e-mail. W tym archiwum znajduje się plik o rozszerzeniu .pif. System Windows traktuje pliki z takim rozszerzeniem jak zwykłe pliki wykonywalne. Przewagą tego rozszerzenia jest fakt, że jest niewidoczne nawet po włączeniu wyświetlania rozszerzeń plików znanych typów. Dlatego użytkownicy mogą być przekonani, że otwierają plik innego rodzaju, w tym przypadku zwykły dokument PDF.

Betabot posiada wiele możliwości, między innymi:

  • Wykonywanie ataków DDoS.
  • Wykradanie haseł wpisywanych do oprogramowania PuTTY.
  • Wykradanie haseł zapisanych w klientach FTP.
  • Wykradanie haseł zapisanych w przeglądarkach: Internet Explorer, Firefox (nawet w wersji Tor Browser), Chrome.
  • Wykradanie danych do logowania z programów: Runescape, Minecraft, League of Legends, Skype, World of Warcraft, Steam.
  • Przechwytywanie danych wysyłanych żądaniami POST (np. nazwa użytkownika i hasło do systemów zarządzania hostingiem czy interfejsów pocztowych).
  • Wykradanie zapisanych plików cookie.

źródło i całość artykułu: CERT.pl