Fake Telstra and EnergyAustralia email bills spread banking trojans

Cybercrooks ส่งสแปมอีกครั้งด้วยการส่งใบเรียกเก็บเงินปลอมเพื่อติดตั้งโทรจันบนเครื่องเพื่อขโมยข้อมูล online banking

นักวิจัยจาก Trustwave พบลิ้งค์สำหรับติดตั้ง Gozi Trojan จาก Energy Australia เมื่อเดือนกันยายนที่ผ่านมา ถ้าหากเหยื่อเปิดอีเมล์และคลิกทีปุ่ม "View my Bill" ก็จะนำเหยื่อไปยังหน้าปลอม และดาวน์โหลดไฟล์ ZIP ที่มีชื่อว่า EnergyAustralia Electricity bill.zip เมื่อทำการแตกไฟล์ Zip ดังกล่าว จะมีการดาวน์โหลด JavaScript ที่ใช้ในสั่งดาวน์โหลด EXE ไฟล์ที่ใช้ในการติดตั้ง Gozi สำหรับใช้ในการขโมย Credential และใบเรียกเก็บเงินจริงที่อยู่ในรูปแบบ PDF รวมถึงตรวจสอบการใช้งานของเบราว์เซอร์, ดาวน์โหลด keylogging, ถ่ายภาพหน้าจอ, ขโมยอีเมล, และดาวน์โหลดมัลแวร์ตัวอื่น ๆ ทั้งนี้เมื่อเดือนมิถุนายนที่ผ่านมา EnergyAustralia ก็เคยแจ้งเตือนให้ลูกค้าระวังเรื่องบิลปลอมซึ่งจะถูกส่งมาด้วยอีเมลล์ที่มี subject ว่า "Bill Payment Status: UNPAID" โดยผู้โจมตีได้สร้างหน้าเว็ปไซต์ที่เลียนแบบ MyAccount portal ของบริษัท เพื่อหลอกลวงรหัสผ่านจากเหยื่อ

ใบเรียกเก็บเงินปลอมของ EnergyAustralia ที่ Trustwave ตรวจพบนั้นถูกส่งมาจากโดเมน "energybrandlab [dot]com" จดทะเบียนแล้วเมื่อวันที่ 17 กันยายน และพบว่ามีการใช้ Microsoft SharePoint ในปุ่ม “View Bill” ที่อยู่ในอีเมลล์ นอกจากนี้เมื่อวันที่ 27 กันยายน Trustwave ยังตรวจพบบิลปลอมของ Telstra ซึ่งมีเทคนิคที่คล้ายคลึงกับของ EnergyAustralia แต่มาจากโดเมน "businessdirs.com

cso