![[08.04.2025] Podatki dla inwestujących w nieruchomości](https://www.podatki.biz/layoutv4/images/min2-logo_edukacja_biale.png){kind=logo}
![Karol Świderski wybrany graczem drugiej kolejki eliminacji do Mistrzostw Świata 2026 w strefie europejskiej [OFICJALNIE]](https://transfery.info/img/photos/105732/1500xauto/karol-swiderski.jpg)
Kolejne ostrzeżenie od Orange
CERT Orange Polska ostrzega przed nową kampanią malware wymierzoną m.in. w polskich internautów. Cyberprzestępcy wykorzystują zaawansowaną wersję stealera XLoader, który infekuje zarówno systemy Windows, jak i macOS. Atak rozpoczyna się od e-maili podszywających się pod korespondencję biznesową, zawierających fałszywe potwierdzenia przelewów na wysokie kwoty. XLoader to ewolucja znanego Formbooka. Nowa wersja wyróżnia się ulepszonymi mechanizmami obfuskacji, szyfrowaniem AES-128 oraz komunikacją z serwerem C2 za pomocą żądań GET z zakodowanymi parametrami w URL. Dodatkowo, w odróżnieniu od swojego pierwowzoru, może infekować komputery z systemem macOS. Scenariusz ataku bazuje na skutecznej socjotechnice – ofiary otrzymują wiadomości napisane poprawną polszczyzną, sugerujące, że dokonały wysokiej płatności. Przestępcy liczą, że zaniepokojeni użytkownicy klikną w zainfekowany załącznik, chcąc wyjaśnić rzekomy błąd w przelewie. Hakerzy zadbali również o wiarygodność domen, z których rozsyłają XLoadera. Przykładem jest zrembchocjnice[.]pl – adres przypominający prawdziwą domenę, lecz zawierający subtelną literówkę (dodatkowa litera „c”). W kampanii wykorzystano także inne adresy, w tym lonzig[.]com (nieistniejący) oraz alumetal-technik[.]com (prawdziwa witryna, pod którą podszyli się cyberprzestępcy – właściciel strony potwierdził incydent). CERT Orange Polska informuje, że Polska nie jest jedynym celem tej kampanii. Zidentyfikowano także wersje wiadomości w języku hiszpańskim i rumuńskim, a analiza droppointów wskazuje, że na liście celów znajdują się również kraje anglojęzyczne. Oznaki naruszenia bezpieczeństwa (Indicators of Compromise): Załączniki XLoader Potwierdzenie%20Przekazu-17-Marca-2025.iso 98bcc0404f008e8e90197084ffb81fcb192351174c23ed3d0edcde60df3f495a Potwierdzenie%20Przekazu-17-Marca-2025.7z 9621426a3c8f7e435d75fb8a47d3a2fedc5d173a3cdc987ea37209c6fe108572 po rozpakowaniu Potwierdzenie%20Przekazu-17-Marca-2025.js 25b842fd523d43e11b83811f2e57d377719acf7ccee9eb8397242c8bcfec26f1 Landing page hxxps://www.zrembchocjnice[.]pl/Potwierdzenie%20Przekazu-17-Marca-2025.iso hxxps://www.zrembchocjnice[.]pl/Potwierdzenie%20Przekazu-17-Marca-2025.7z C2 hxxp://www.yusufzdemir[.]xyz/a471/ hxxp://www.truecus[.]site/e3wa/ hxxp://www.sonomedgroup[.]online/xwqx/ hxxp://www.irlandesi[.]xyz/iriv/ hxxp://www.bitcoinvendor[.]xyz/hb8i/ hxxp://www.travel-cure[.]sbs/ma7q/ hxxp://www.kdjsswzx[.]club/c7s2/
CERT Orange Polska ostrzega przed nową kampanią malware wymierzoną m.in. w polskich internautów.
Cyberprzestępcy wykorzystują zaawansowaną wersję stealera XLoader, który infekuje zarówno systemy Windows, jak i macOS. Atak rozpoczyna się od e-maili podszywających się pod korespondencję biznesową, zawierających fałszywe potwierdzenia przelewów na wysokie kwoty.
XLoader to ewolucja znanego Formbooka. Nowa wersja wyróżnia się ulepszonymi mechanizmami obfuskacji, szyfrowaniem AES-128 oraz komunikacją z serwerem C2 za pomocą żądań GET z zakodowanymi parametrami w URL. Dodatkowo, w odróżnieniu od swojego pierwowzoru, może infekować komputery z systemem macOS.
Scenariusz ataku bazuje na skutecznej socjotechnice – ofiary otrzymują wiadomości napisane poprawną polszczyzną, sugerujące, że dokonały wysokiej płatności. Przestępcy liczą, że zaniepokojeni użytkownicy klikną w zainfekowany załącznik, chcąc wyjaśnić rzekomy błąd w przelewie.
Hakerzy zadbali również o wiarygodność domen, z których rozsyłają XLoadera. Przykładem jest zrembchocjnice[.]pl – adres przypominający prawdziwą domenę, lecz zawierający subtelną literówkę (dodatkowa litera „c”). W kampanii wykorzystano także inne adresy, w tym lonzig[.]com (nieistniejący) oraz alumetal-technik[.]com (prawdziwa witryna, pod którą podszyli się cyberprzestępcy – właściciel strony potwierdził incydent).
CERT Orange Polska informuje, że Polska nie jest jedynym celem tej kampanii. Zidentyfikowano także wersje wiadomości w języku hiszpańskim i rumuńskim, a analiza droppointów wskazuje, że na liście celów znajdują się również kraje anglojęzyczne.
Oznaki naruszenia bezpieczeństwa (Indicators of Compromise):
Załączniki XLoader
Potwierdzenie%20Przekazu-17-Marca-2025.iso
98bcc0404f008e8e90197084ffb81fcb192351174c23ed3d0edcde60df3f495a
Potwierdzenie%20Przekazu-17-Marca-2025.7z
9621426a3c8f7e435d75fb8a47d3a2fedc5d173a3cdc987ea37209c6fe108572
po rozpakowaniu
Potwierdzenie%20Przekazu-17-Marca-2025.js
25b842fd523d43e11b83811f2e57d377719acf7ccee9eb8397242c8bcfec26f1
Landing page
hxxps://www.zrembchocjnice[.]pl/Potwierdzenie%20Przekazu-17-Marca-2025.iso
hxxps://www.zrembchocjnice[.]pl/Potwierdzenie%20Przekazu-17-Marca-2025.7z
C2
hxxp://www.yusufzdemir[.]xyz/a471/
hxxp://www.truecus[.]site/e3wa/
hxxp://www.sonomedgroup[.]online/xwqx/
hxxp://www.irlandesi[.]xyz/iriv/
hxxp://www.bitcoinvendor[.]xyz/hb8i/
hxxp://www.travel-cure[.]sbs/ma7q/
hxxp://www.kdjsswzx[.]club/c7s2/
