Lažnim porukama elektroničke pošte od strane navodne Porezne uprave pokušava se kompromitirati korisnička računala. Nakon razdoblja u kojem su se gotovo svakodnevno događali razni napadi na računalne mreže i računala općenito, s naglaskom na “ransomware” i “Phishing” kampanje, stiglo je i nešto mirnije vrijeme. Ili je barem tako izgledalo, iako je svima jasno da se apsolutna sigurnost više ne može očekivati.

Iz CARNet-ova Nacionalnog CERT-a stiglo je novo upozorenje na “Phishing” kampanju koja lažnim porukama elektroničke pošte od strane navodne Porezne uprave pokušava kompromitirati korisnička računala. Naravno, kao i uvijek, oprez je nužan, a priopćenje CERT-a prenosimo u cijelosti.

VAŽNO! Proteklih dva tjedna zabilježena je phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava. Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite.', dok je u naslovu poruke stajalo 'Novi Zakon za 2018'. U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'.

Niže je slika s prikazom teksta phishing poruke.

Phishing URL kao i pripadajuća domena su blokirani, tj. nisu aktivni, ali pozivamo na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.

U slučaju pokretanja preuzete maliciozne datoteke, ista komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:

* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com

Nacionalni CERT korisnicima savjetuje blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama. Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.

Izvor: N1


KOMENTARI: