Fałszywe wezwanie sądowe i phishing z PDF. Kampania Casbaneiro dociera do Europy

2026-04-03

TL;DR

Badacze opisali kampanię phishingową, w której ofiara dostaje wiadomość przypominającą pilne wezwanie sądowe. W załączonym PDF znajduje się link prowadzący do kolejnych plików, a cały schemat może skończyć się infekcją komputera i dalszym rozsyłaniem wiadomości z przejętego konta.

Należy zwrócić uwagę, by nie traktować formalnie brzmiącego maila i hasłowanego PDF-a jako dowodu wiarygodności. Właśnie takie elementy mogą być częścią dobrze przygotowanej socjotechniki.

O jakiej kampanii mówią badacze

W opisywanym przypadku punktem startowym była wiadomość e-mail podszywająca się pod sądowe wezwanie do stawiennictwa. Według analizy BlueVoyant kampania była wymierzona w organizacje hiszpańskojęzyczne w Ameryce Łacińskiej i Europie, a badacze wskazali rozszerzenie działań na Hiszpanię.

Jak opisuje też The Hacker News, cały łańcuch łączy e-mail, PDF, pobieranie kolejnych plików oraz mechanizmy pozwalające dalej rozsyłać phishing z przejętych kont.

Sam scenariusz jest bardzo uniwersalny. Fałszywe pismo, presja, pilność i załącznik wyglądający oficjalnie to schemat, który łatwo dostosować do innych języków i realiów.

Jak wygląda schemat ataku

Najpierw przychodzi wiadomość, która ma wywołać stres. Temat i treść sugerują obowiązkowe stawiennictwo albo inną poważną sprawę urzędową. Odbiorca ma poczuć, że nie może zignorować maila i powinien działać natychmiast.

Kolejny etap to hasłowany PDF. Taki plik może wyglądać bardziej profesjonalnie niż zwykły załącznik, a jednocześnie utrudniać automatyczne skanowanie treści. W samym dokumencie znajduje się link, który prowadzi do pobrania dalszego pliku.

Po kliknięciu użytkownik nie widzi od razu całego obrazu sytuacji. Pobierany jest kolejny element, zwykle archiwum lub plik pośredni, a potem uruchamiane są następne komponenty. Dla pracownika to może wyglądać jak zwykłe otwieranie dokumentu, ale w tle startuje właściwy łańcuch infekcji.

Najgroźniejsze jest to, że skutki nie muszą kończyć się na jednym komputerze. W opisywanej kampanii zainfekowane środowisko mogło zostać wykorzystane do dalszego rozsyłania wiadomości phishingowych do kontaktów ofiary, co zwiększa wiarygodność kolejnych fal ataku.

Dlaczego ten scenariusz jest groźny także dla polskich firm

Taki phishing nie opiera się wyłącznie na sztuczkach technicznych. Gdy ktoś widzi słowa sugerujące sprawę sądową, naruszenie prawa albo konieczność pilnego wyjaśnienia sytuacji, łatwo wchodzi w tryb natychmiastowego działania.

To właśnie dlatego podobne kampanie regularnie wracają w różnych wersjach. Raz będzie to urząd, raz policja, raz faktura, a innym razem dokument do podpisu. Mechanizm pozostaje podobny. Najpierw presja, potem kliknięcie, a dopiero później pojawia się właściwy problem.

Na PHISHLY opisywaliśmy już podobne wzorce w tekście o fałszywych wezwaniach z Policji i Europolu. W praktyce różnią się szczegóły, ale cel jest ten sam: wywołać emocję, obniżyć czujność i skłonić odbiorcę do wykonania kolejnego kroku bez spokojnej weryfikacji.

Jak rozpoznać podobną wiadomość

Pierwszy sygnał ostrzegawczy to sama sytuacja. Jeśli nie spodziewasz się żadnego pisma, wezwania albo sprawy formalnej, traktuj taką wiadomość z większą ostrożnością.

Drugi sygnał to presja. Oszuści chcą, żebyś działał szybko, zanim zdążysz zapytać kogoś z zespołu albo zgłosić sprawę do IT. Im większy pośpiech i strach, tym większa potrzeba zatrzymania się na chwilę.

Trzeci sygnał to załącznik lub link, które nie pasują do normalnego obiegu dokumentów w firmie. Hasłowany PDF, dziwna instrukcja otwarcia, automatyczne pobranie pliku albo plik, którego nie oczekujesz, zawsze powinny zapalić lampkę ostrzegawczą. Podobny mechanizm omawialiśmy też we wpisie o złośliwym załączniku w mailu.

Czwarty sygnał to próba przeniesienia Cię z normalnej ścieżki działania na ścieżkę narzuconą przez nadawcę. Zamiast weryfikacji przez oficjalny kanał masz kliknąć, pobrać, odpisać albo wykonać instrukcję od razu. Właśnie wtedy najłatwiej popełnić błąd.

Co zrobić jako odbiorca

Najpierw nie klikaj niczego dalej. Jeśli widzisz wezwanie, pismo albo załącznik, którego się nie spodziewałeś, nie próbuj samodzielnie wyjaśniać sprawy z nadawcą i nie odpowiadaj na wiadomość.

Zgłoś ją zgodnie z firmową procedurą. Dla większości organizacji najlepszy model jest prosty: przekazanie podejrzanej wiadomości do wskazanego adresu lub zespołu bezpieczeństwa. Lepiej zgłosić jedną wiadomość za dużo niż jedną za mało.

Jeżeli kliknąłeś link albo uruchomiłeś pobrany plik, nie ukrywaj tego. Szybkie zgłoszenie daje firmie szansę ograniczyć skutki. W bezpieczeństwie dużo groźniejsze od pomyłki jest opóźnienie reakcji.

Co powinno zrobić IT lub Security po zgłoszeniu

Trzeba sprawdzić, czy wiadomość trafiła też do innych osób, czy ktoś jeszcze kliknął oraz czy nie doszło do pobrania i uruchomienia kolejnych plików.

Dobrą praktyką jest szybkie zabezpieczenie wiadomości, przeanalizowanie nagłówków, sprawdzenie logów poczty, proxy, EDR i pobrań z przeglądarki. Jeśli użytkownik uruchomił którykolwiek z plików, stacja robocza powinna zostać potraktowana jak potencjalnie naruszona do czasu weryfikacji.

Równie ważne jest sprawdzenie, czy konto użytkownika nie zostało wykorzystane do dalszego rozsyłania wiadomości. W kampanii opisanej przez badaczy przejęte środowisko mogło służyć do kolejnych fal phishingu, więc warto przejrzeć aktywność pocztową, nietypowe wysyłki i historię logowań.

Na końcu warto wrócić do edukacji. Tego typu incydenty pokazują, że skuteczna ochrona nie zaczyna się od bardzo technicznego opisu malware, ale od prostego treningu rozpoznawania presji, nietypowych załączników i sytuacji, które nie pasują do codziennej pracy.