Nacionalni CERT

[UPOZORENJE!] Phishing kampanja

VAŽNO! Proteklih dva tjedna zabilježena je phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava. Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'pdv@porezna-uprava.net', dok je u naslovu poruke stajalo 'Novi Zakon za 2018'. U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'.

Niže je slika s prikazom teksta phishing poruke.

Phishing URL kao i pripadajuća domena su blokirani, tj.  nisu aktivni, ali pozivamo na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.

Temeljem detaljnije analize zlonamjerne datoteke koju je proveo CERT ZSIS (Zavod za sigurnost informacijskih sustava) zabilježeno je da pokrenuta preuzeta maliciozna datoteka komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:

* consaltingsolutionshere.com

* kimdotcomfriends.com

* bestfriendsroot.com

Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.

Nacionalni CERT i CERT ZSIS korisnicima savjetuju blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama.

29.11.2017
Slike: