Niecodzienny atak za pomocą profili NSZZ Solidarność Stoczni Gdańskiej

Czasem do dystrybucji złośliwego oprogramowania wykorzystywane są serwisy darzone zaufaniem przez użytkowników. Tu dodatkowo obserwujemy także wykorzystywanie krajowych animozji politycznych. Nietypowe.

Ktoś przejął profile NSZZ Solidarność Stoczni Gdańskiej w mediach społecznościowych oraz kontrolę nad jej serwisem WWW, a następnie użył posiadanych dostępów, by uruchomić dystrybucję złośliwego konia trojańskiego. Tymczasem użytkownicy, zamiast uważać na złośliwe załączniki, dyskutują o polityce.

Przejęte konta na Facebooku i Twitterze

Na profilu FB NSZZ Solidarność Stoczni Gdańskiej wczoraj wieczorem pojawił się nietypowy wpis.

Pod wpisem znajduje się link do pliku dokumentacja.zip, zawierającego złośliwe oprogramowanie. Identyczny wpis pojawił się także na Twitterze:

Ten z Twittera nie zyskał popularności, ale statystyki wpisu na FB pokazują pewien poziom zaangażowania. Co ciekawe, większość komentarzy jest wybitnie polityczna, a zaledwie jedna osoba zwraca uwagę na niebezpieczną zawartość załącznika. Są także osoby, które próbowały plik otworzyć, lecz „nie zadziałał”…

Co ciekawe, ktoś opłacił wyświetlanie wpisu użytkownikom Facebooka, zapewne, by napędzić sobie więcej ofiar:

Złośliwy załącznik, a nawet dwa

Plik dokumentacja.zip, zamieszczony na serwerze NSZZ Solidarność Stoczni Gdańskiej, zawiera dwa pliki:

LISTA_OSÓB_SKAN.PDF.vbs
SKAN_DOKUMENTÓW.PDF.JS

Oba są zaciemnione, ale też oba prowadzą do tego samego – pobrania i wykonania pliku EXE:

http://191.96.249.27/mswiner.exe

łączącego się z adresem

191.96.249.27:336

Sam złośliwy program prawdopodobnie jest jednym z popularnych koni trojańskich, umożliwiających przestępcy przejęcie kontroli nad zainfekowanym komputerem.