NASK ostrzegła przed oszustami podszywającymi się pod Główny Urząd Statystyczny. Przestępcy rozsyłają wiadomości e-mail podszywające się pod adres GUS, w których informują odbiorcę o objęciu jego firmy obowiązkiem sprawozdawczym wobec GUS.

Zespół CSIRT (Computer Security Incident Response Team) Naukowej i Akademickiej Sieci Komputerowej poinformował, że obserwuje nową kampanię wiadomości e-mail, mającą na celu dystrybucję szkodliwego oprogramowania.

Potencjalna ofiara otrzymuje na swój adres e-mail wiadomość, rzekomo od Głównego Urzędu Statystycznego, o objęciu jej obowiązkiem sprawozdawczym, zgodnie z którym musi wypełnić elektroniczny formularz zgłoszenia, zamieszczony w załączniku wiadomości. W celu uwiarygodnienia wiadomości nadawca powołuje się na szereg przepisów prawnych i zamieszcza linki prowadzące do rzeczywistej strony Biuletynu Informacji Publicznej - czytamy w informacji.

Eksperci zwracają uwagę, że oszuści podszywają się pod adres GUS-Portal@info.stat.gov.pl i dodają, że w załączniku wiadomości znajduje się plik wykonywalny w postaci archiwum o nazwie "Elektroniczny formularz zgłoszenia.exe"." W rzeczywistości mamy do czynienia ze szkodliwym oprogramowaniem GuLoader/CloudEyE" - informuje NASK.

Dodaje, że jego zadaniem jest jedynie zweryfikowanie, czy program nie został uruchomiony w środowisku wirtualnym, a następnie pobranie właściwego pliku ze złośliwym oprogramowaniem z zewnętrznej strony i uruchomienie go.

Szkodliwe oprogramowanie, które jest pobierane w ostatniej fazie infekcji, pochodzi z rodziny Agent Tesla/OriginLogger. Charakteryzuje się ona wykradaniem danych wrażliwych z komputera ofiary m.in. zapisanych haseł i ciasteczek z przeglądarki, informacji o systemie, a także haseł z najpopularniejszych aplikacji. W kolejnym etapie dane te są eksfiltrowane za pomocą jednej z wielu dostępnych metod takich jak wysyłanie maili (SMTP), serwer FTP albo nawet korzystając z możliwości API takich platform jak Telegram czy Discord"- wskazuje NASK.

Co zrobić, jeśli pobierzemy złośliwe oprogramowanie?

W przypadku zainfekowania komputera szkodliwym oprogramowaniem NASK radzi, by w pierwszej kolejności odłączyć urządzenie od sieci, zarówno tej przewodowej, jak i bezprzewodowej. Następnie, wykorzystując inne niezainfekowane urządzenie, należy zmienić wszystkie hasła, które były zapisane w przeglądarce i innych aplikacjach, a także tych, które były podawane już po infekcji szkodliwym oprogramowaniem.

Sugerujemy wykonanie kopii zapasowej danych, następnie przeinstalowanie systemu operacyjnego i przywrócenie najważniejszych danych ze wspomnianej kopii zapasowej - zaznaczają eksperci. Dodają, że alternatywnie zainfekowane urządzenie można przeskanować za pomocą programu antywirusego. W systemie Windows można wykorzystać do tego wbudowany program Windows Defender. Jednak warto pamiętać, że nie daje to gwarancji pełnego usunięcia szkodliwego oprogramowania - wskazano.