Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

CERT Polska ostrzega o zainfekowanym wariancie programu e-pity. Uważajcie.

14 kwietnia 2020, 23:06 | W biegu | komentarzy 15

„Czysty” i bardzo często używany program, dostępny jest tutaj:
https://www.e-pity.pl/

CERT Polska ostrzega jedna przed wariantem dostępnym pod taką domeną: epity2020[.]p[l]. Uwaga, CERT ostrzega, że samo wejście na tę stronę z systemu Android skutkuje próbą instalacji malware. Z kolei po pobraniu i uruchomieniu fałszywej aplikacji możemy spodziewać się na komputerze malware typu banker (atakującego polskie bankowości elektroniczne, czy dokładniej – próbujący dostać się na Wasze konta).

Fejkowa stronka

Jak widzicie, jest HTTPS, kłódka, a przeglądarka wyświetla zielony komunikat: 'Zabezpieczone połączenie’. Podejrzenia jednak powinno budzić 'hasło do archiwum’ – jest ono ustawione po to aby zmylić antywirusy. I rzeczywiście obecnie na VirusTotalu, niemal nic nie wykrywa tego zip-a jako podejrzanego. Po rozpakowaniu jednak pojawiają się nieśmiałe detekcje:

VT & pity

Uważajcie skąd ściągacie oprogramowanie, nie wierzcie że HTTPS czy kłódka w przeglądarce ochroni Was przed atakiem (będziemy o tym mówić na naszym kolejnym webinarze), uważajcie również na instalatory czy archiwa (np. zip) wymagające podania dodatkowego hasła.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. voyager

    Kto inteligentny zbierze się za rozliczenie pit na stronie epity2020.pl ? Błagam

    Odpowiedz
    • Może np. dlatego że wpisze w google e pity i jako pierwszy link (reklama) wyskoczy mu właśnie to?

      Odpowiedz
    • Bartek

      Na stronce jest exe do pobrania programu. Osobiście nawet znam kilku księgowych, którzy z owego programu korzystają.

      Odpowiedz
    • kero

      Nie każdy jest taki inteligentny jak ty.

      Odpowiedz
    • fdgreds

      Ja się dziwię czemu ludzie nie korzystają z rozwiązań rządowych – podaje się PESEL, przychód i podatek z 2018, przychód z 2019 i tyle. Na podatki.gov.pl – nie trzeba nic instalować.
      Kiedyś były „wstępnie wypełnione zeznania” i też było to super. Może skarbówka za mało to promuje?

      Odpowiedz
  2. Marek

    ESET już blokuje url jako phishing. W ogóle zawsze mnie zastanawia dlaczego tego typu strony nie mogą trafiać od razu na czarną listę w google safe browsing i być automatycznie blokowane przez przeglądarki? Powinno wystarczyć zgłoszenie od narodowego CERTu, ew. jako dodatkowe potwierdzenie możnaby brać pod uwagę detekcje z VirusTotala (google jest przecież właścicielem VT).

    Poza tym CERT od niedawna udostępnia listę złośliwych domen aktualizowaną co 5 min. Jeżeli czyta to ktoś z CERT to mam sugestię: może warto by stworzyć plugin do przeglądarek, który blokowałby domeny na podstawie tej listy?

    A może ktoś ma jakiś pomysł w jaki sposób można by najprościej zautomatyzować taką blokadę samemu? Pewnie jakiś skrypt dodany do task schedulera lub crona, który dorzuci odpowiednie wpisy do hosts? (pomysł na materiał do sekurak.tv ;))

    Odpowiedz
    • Max
      Odpowiedz
      • Marek

        Taki CERTowy plugin łatwiej by było wypromować i namówić ludzi do korzystania. Wiadomo, że można takie złośliwe domeny dopisać do listy uBlocka, ale nie każdemu takie rozwiązanie musi pasować.

        A jak jesteśmy przy uBlocku – fajnie by było gdyby CERT udostępnił listę, o której mowa w formacie filtrów do uBlocka.

        Odpowiedz
        • Andrew
          Odpowiedz
          • Bartosz

            Potwierdzam pobranie listy i import do uBlock :)

          • Marek

            Tak, ale dopasowywanie odbędzie się w kontekście całego urla, czyli coś w stylu
            url.contains(domena.z.listy)
            Natomiast mi chodzi o to, żeby uBlock dopasowywał tylko w kontekście domeny. Wtedy filtr chyba powinien wyglądać
            domena[.]pl/*

        • Szymon

          Filtry KAD do uBlock. Mówi to coś Panu?

          Odpowiedz
    • Adam

      Ale ta strona jest blokowana przez listę KAD – Przekręty dla uBlocka/AdGuarda i każdy może ją zasubskrybować.

      Odpowiedz
  3. olek

    Zielona krótka jest najlepsza .Firefox zmienił to na czarną .No i teraz dopiero jest to do niczego.

    Powinni poprawić ale kolor jak najbardziej zostawić.

    Odpowiedz
  4. olek
    Odpowiedz

Odpowiedz