DNSC: Fals e-mail de la „casa de avocatură” declanșează un malware

În ultimele zile, Directoratul Național de Securitate Cibernetică (DNSC) a identificat un nou val de atacuri informatice îndreptate asupra utilizatorilor români. Atacatorii folosesc o metodă deosebit de ingenioasă și convingătoare: trimit email-uri care par să provină de la case de avocatură. Mesajele afișează subiecte alarmante, cum ar fi: „Avertisment privind încălcarea drepturilor de proprietate intelectuală”.

Tonul este oficial și redactarea este corectă din punct de vedere gramatical, ceea ce face ca email-ul să pară legitim pentru utilizatorii neavizați.

Mesajul conține o arhivă ZIP mascată drept document juridic

Mesajul conține un link prescurtat care, odată accesat, descarcă o arhivă ZIP denumită straniu: „Verdikto katar o rodipe.zip”. În interior se află mai multe fișiere ce par inofensive – de tip PDF sau PNG – sugerând că ar conține documente legale sau dovezi foto.

În realitate, aceste fișiere ascund un cod malițios bine disimulat, care, odată activat, instalează un malware capabil să compromită în întregime securitatea dispozitivului.

frauda online hackeri inselatorie cibernetica
SURSA FOTO: Dreamstime

După deschidere, malware-ul:

  • Injectează cod Python în svchost.exe și permite control de la distanță prin modulul pureHVNC
  • Folosește RegAsm.exe pentru a occoli sistemele antivirus
  • Se conectează la un bot Telegram pentru comandă și control
  • Extrage parole, cookie-uri și date din browsere (Chrome, Edge)
  • Realizează capturi de ecran și caută extensii de portofele crypto
  • Decodează și rulează payload-uri ascunse în format Base64
  • Oprește browserele pentru a accesa datele necriptate
  • Trimite totul către atacatori prin Telegram

Odată instalat malware-ul preia controlul total și fură datele

Potrivit specialiștilor DNSC, acest malware are capacități extinse și periculoase:

  • Fură parolele salvate în browsere populare (Chrome, Edge);
  • Caută și accesează portofele de criptomonede instalate pe dispozitiv;
  • Realizează capturi de ecran automat, la intervale regulate;
  • Trimite toate informațiile obținute către atacatori prin intermediul aplicației Telegram;
  • Dezactivează sistemele de securitate și antivirus active pe sistem;
  • Permite accesul de la distanță asupra dispozitivului, transformându-l într-o unealtă controlabilă de la distanță.

Această formă de atac cibernetic se încadrează în categoria celor avansate (Advanced Persistent Threats – APT), fiind concepută pentru a evita detectarea de către sistemele tradiționale de protecție. O caracteristică esențială a acestui atac este componenta de manipulare psihologică: mesajele profită de temerile legate de posibile litigii legale și de neînțelegerile frecvente privind drepturile de autor în mediul digital.

Recomandările autorităților: prudență maximă și reacție promptă

Pentru a evita compromiterea datelor personale și financiare, DNSC face următoarele recomandări ferme:

  • Nu deschideți email-uri suspecte primite de la entități necunoscute, chiar dacă par oficiale;
  • Nu accesați link-uri sau nu descărcați fișiere din astfel de mesaje;
  • Verificați cu atenție adresa expeditorului, nu doar numele afișat;
  • Actualizați constant software-ul antivirus și sistemul de operare;
  • Deconectați imediat dispozitivul infectat de la internet dacă suspectați o compromitere;
  • Folosiți instrumente profesionale de curățare și remediere a sistemului;
  • În caz de incident, contactați imediat specialiștii DNSC.

Atacuri cibernetice tot mai răspândite și adaptate contextului românesc

Această campanie de phishing se alătură unei tendințe îngrijorătoare la nivel global: atacuri tot mai personalizate, care exploatează contexte culturale, juridice sau economice locale pentru a convinge victimele. România, odată cu creșterea gradului de digitalizare, a devenit tot mai des țintă a unor astfel de atacuri elaborate.

DNSC atrage atenția asupra necesității unei igiene cibernetice constante și a educației digitale în rândul populației.

Ce poți face dacă ai fost victima unui astfel de atac

Dacă ai deschis un astfel de fișier sau ai observat comportamente suspecte ale sistemului tău:

  • Deconectează imediat calculatorul de la internet;
  • Rulează un program antivirus actualizat;
  • Contactează un specialist în securitate cibernetică;
  • Schimbă parolele tuturor conturilor accesate de pe acel dispozitiv;
  • Informează autoritățile – DNSC.

Contact și resurse utile

Pentru raportarea unui incident cibernetic sau pentru suport specializat, utilizatorii pot apela la:

www.dnsc.ro – site-ul oficial al Directoratului Național de Securitate Cibernetică