Wiadomości phishingowe, o których dziś mowa zawierają wkładkę w postaci LokiBota, czyli złośliwego oprogramowania wyspecjalizowanego w wykradaniu danych. Na przykład ciasteczek, haseł z przeglądarek, profili popularnych FTP czy profili SSH. W efekcie – zawsze trafiają do nas w formie fałszywego dokumentu, na przykład zamówienia czy faktury. W najnowszej kampanii oszuści po raz pierwszy podszywają się pod uczelnię i wysyłają… Fałszywe oferty Uniwersytetu Jagiellońskiego!

Czytaj też: Nie kupuj przez WhatsAppa. Oszustwa na OLX znów uderzają

 Uwaga: fałszywe oferty Uniwersytetu Jagiellońskiego

Uwaga: fałszywe oferty Uniwersytetu Jagiellońskiego

Podobne wiadomości wyszły już spod ręki Uniwersytetu Warszawskiego, a właściwie spod ręki oszustów, którzy pod UW się podszywali.

O ile treść tutejszego maila napisana jest całkiem poprawną polszczyzną… O tyle forma już na pierwszy rzut oka dowodzi, że coś jest bardzo nie tak. Mowa przede wszystkim o określeniu „Za dobrą rekomendacją Państwa firmy jesteśmy uniwersytetem (…)”. Jest to bezpośrednia kalka z języka obcego, która – koniecznie – powinna wzbudzać niepokój odbiorcy maila!

Czytaj też: Wyzwanie na TikToku: Antyfiltr dający dostęp do golizny na TikToku, czyli jak zainfekować milion telefonów jednym filtrem…

Z kolei o ile w przypadku Uniwersytetu Warszawskiego oszuści podszywali się pod prawdziwe personalia rektora… Teraz z kolei nieco im nie wyszło, ponieważ Stanisław Lem nie tylko nie żyje od 16 lat, na UJ pracował tylko jako młodszy asystent w Konwersatorium Naukoznawczym Asystentów. A w ogóle Lem, czy może Lemon?

Dodatkowo, w międzyczasie czytania maila znajdziemy także w załączniku plik ZAMÓWIENIE PROJEKTOWE 2022.xls, wykorzystujący podatność CVE-2017-11882 w MS Office. Tymczasem, zainfekowany plik pobiera malware spod adresu:

hxxp://103[.]28.70.118/35/vbc.exe

by następnie kontaktować się z poniższymi serwerami C&C:

  • hxxp://208.67.105[.]161/durtch/five/fre.php
  • hxxp://kbfvzoboss[.]bid/alien/fre.php
  • hxxp://alphastand[.]trade/alien/fre.php
  • hxxp://alphastand[.]win/alien/fre.php
  • hxxp://alphastand[.]top/alien/fre.php

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *