CERT Orange Polska poinformował, iż zidentyfikowano akcję phishingową, w której oszuści podszywają się pod firmę Kamsoft. Oszuści wysyłają do użytkowników systemu Kamsoft sms-y. Zachęcają w nich do aktualizacji oprogramowania. Po kliknięciu w link zawarty w wiadomości użytkownik jest przenoszony na fałszywą stronę Kamsoftu. Ta, do złudzenia przypomina jej oryginalną wersję. Po pobraniu aktualizacji z fałszywej witryny, na urządzenie użytkownika ściąga się zainfekowane oprogramowanie typu malware. Służy ono do kradzieży danych zawartych na urządzeniach.
Doskonała kampania podszywania się pod Kamsoft
Eksperci z CERT Orange Polska wskazują, iż przygotowanie kampanii, której celem jest podszywanie się pod Kamsoft, było niezwykle staranne. Po pierwsze, choć zwykle akcje phishingowe są skierowane do masowego odbiorcy, tym razem zdecydowano się na wąską grupę użytkowników. Po drugie fałszywą witrynę internetową przygotowano tak, iż do złudzenia przypomina ona tę oryginalną.
Fałszywa strona internetowa znajduje się pod adresem: www.e-kamsoft.pl Pod względem wizualnym nie różni się niczym od jej oryginalnej odpowiedniczki.
– Witryna ta miała za zadanie zachęcić do pobrania i manualnego uruchomienia pobranej aplikacji. Pobrany plik wykonywalny podszywał się pod aktualizację systemu Kamsoft – możemy przeczytać w komunikacie CERT Orange Polska
CERT Orange Polska podkreśla, iż witrynę e-kamsoft.pl zarejestrowano 30 kwietnia 2024 roku, a dopiero 7 maja uruchomiono ją do użytku publicznego. Taki zabieg miał na celu “oszukanie” programów antywirusowych. W ten sposób nie identyfikowały jej jako nowej. Ponadto, fałszywa strona internetowa posiada certyfikat bezpieczeństwa SSL, co tylko poprawia jej wiarygodność u potencjalnych użytkowników.
Fałszywa witryna e-kamsoft.pl do złudzenia przypomina tę prawdziwą (fot. CERT Orange)Fałszywe oprogramowanie jest niewykrywalne przez programy antywirusowe
Po wejściu na fałszywą stronę internetową i po pobraniu “aktualizacji” wskazanej przez oszustów, na urządzeniu instaluje się plik o nazwie aktualizacja-kamsoft.exe Plik ten z pozoru wygląda, jak prawidłowy. Ma komplet metadanych, a dodatkowo zawiera podpis cyfrowy. Na pierwszy rzut oka, nic nie wskazuje na to, iż mamy do czynienia z oszustwem.
Plik zainstalowany z fałszywej strony internetowej to Malware Vidar. Celem jego działania jest kradzież danych zawartych na urządzeniu użytkownika. Są to głównie dane zawarte w przeglądarce internetowej oraz w portfelach kryptowalut. Po kradzieży usuwa jakiekolwiek ślady swojej działalności. Eksperci CERT Orange wskazują, iż tylko nieliczne programy antywirusowe identyfikują ten plik jako złośliwy. Stąd, niezwykle ważne jest, aby zachować szczególną ostrożność przy jakichkolwiek próbach aktualizacji systemu Kamsoft.
Źródło: MB/ CERT Orange
