Pošiljatelj poruke predstavljao se kao Porezna uprava, a poruke je slao s adrese elektroničke pošte informiranja@porezna-uprava.org. Poruka je naslovljena “Obavijest o primjeni“, a u tekstu poruke se korisnika pozivalo na otvaranje phishing URL-a. Phishing URL nalazio se na lažnoj domeni “porezna-uprava.org“.
U nastavku se nalazi slika s tekstom zlonamjerne phishing poruke.
Nakon otvaranja zlonamjerne poveznice sadržane u poruci teksta, na korisnički se uređaj automatski počinje preuzimati izvršna datoteka, a na korisničkom zaslonu se prikazuje poruka vidljiva u slici u nastavku:
Također, valja napomenuti kako se korisniku nakon preuzimanja i pokretanja izvršne datoteke otvori i tražena .pdf datoteka što ukazuje kako je riječ o složenijem napadu.
Poruke se u trenutku pisanja upozorenja šalju s tri različita poslužitelja:
nodoubt.porezna-uprava.org [178.73.210.165] – Sweden
after.porezna-uprava.org [185.61.148.59] – Latvia
japan.porezna-uprava.org [151.236.18.30] – Italy
Nakon pokretanja preuzete izvršne datoteke, u pozadini se na računalo počinju preuzimati i dodatne izvršne datoteke čiji kriptografski sažetak (SHA256) prenosimo u nastavku:
SHA256 Primjena-OPZ.exe
9F6F2D00A93D8BB4B6E7FC9B33DE55CA91C567E8E30DE46AE86339F75587768A
SHA256 WinBroker.exe
D2C584D62247A3A7AF046A3B3931FB7521229AEF0CB6E1926A5A1FD398A6AA94
SHA256 g.exe
86350ABC4C2282CB93C3C855D4580B6DD5EA16AC4AE0747856A3CE0BB4D3DC54
SHA256 porezna.exe
D0E20FA78043FEDEA019F232F90F094101137939B4147289519EB531CA0A4118
SHA256 Helper.dll
99A33B9DC5BCAAD144AD29EED458B6101B407BD592A6F22671455BA0FEB0A3FF
Nacionalni CERT korisnicima savjetuje oprez te brisanje zlonamjerne poruke iz sandučića elektroničke pošte.
$downloadlink = get_field('download_link'); ?>