Pošiljatelj poruke predstavljao se kao Porezna uprava, a poruke je slao s adrese elektroničke pošte informiranja@porezna-uprava.org. Poruka je naslovljena “Obavijest o primjeni“, a u tekstu poruke se korisnika pozivalo na otvaranje phishing URL-a. Phishing URL nalazio se na lažnoj domeni “porezna-uprava.org“.

 

U nastavku se nalazi slika s tekstom zlonamjerne phishing poruke.

 

Nakon otvaranja zlonamjerne poveznice sadržane u poruci teksta, na korisnički se uređaj automatski počinje preuzimati izvršna datoteka, a na korisničkom zaslonu se prikazuje poruka vidljiva u slici u nastavku:

 

 

Također, valja napomenuti kako se korisniku nakon preuzimanja i pokretanja izvršne datoteke otvori i tražena .pdf datoteka što ukazuje kako je riječ o složenijem napadu.

 

Poruke se u trenutku pisanja upozorenja šalju s tri različita poslužitelja:

 

nodoubt.porezna-uprava.org [178.73.210.165] – Sweden
after.porezna-uprava.org [185.61.148.59] – Latvia
japan.porezna-uprava.org [151.236.18.30] – Italy

 

Nakon pokretanja preuzete izvršne datoteke, u pozadini se na računalo počinju preuzimati i dodatne izvršne datoteke čiji kriptografski sažetak (SHA256) prenosimo u nastavku:

 

SHA256 Primjena-OPZ.exe
9F6F2D00A93D8BB4B6E7FC9B33DE55CA91C567E8E30DE46AE86339F75587768A

SHA256 WinBroker.exe
D2C584D62247A3A7AF046A3B3931FB7521229AEF0CB6E1926A5A1FD398A6AA94

SHA256 g.exe
86350ABC4C2282CB93C3C855D4580B6DD5EA16AC4AE0747856A3CE0BB4D3DC54

SHA256 porezna.exe
D0E20FA78043FEDEA019F232F90F094101137939B4147289519EB531CA0A4118

SHA256 Helper.dll
99A33B9DC5BCAAD144AD29EED458B6101B407BD592A6F22671455BA0FEB0A3FF

 

Nacionalni CERT korisnicima savjetuje oprez te brisanje zlonamjerne poruke iz sandučića elektroničke pošte.