Iz Nacionalnog CERT-a upozoravaju kako je proteklih dva tjedna zabilježena phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava
Računalna sigurnost ponovno je postala tema i u Hrvatskoj. Kako naime upozoravaju iz Nacionalnog CERT-a, proteklih dva tjedna zabilježena je phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava.
Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'pdv@porezna-uprava.net', dok je u naslovu poruke stajalo 'Novi Zakon za 2018'. U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'.
Phishing URL kao i pripadajuća domena su blokirani, tj. nisu aktivni, ali pozivamo na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.
Temeljem detaljnije analize zlonamjerne datoteke koju je proveo CERT ZSIS (Zavod za sigurnost informacijskih sustava) zabilježeno je da pokrenuta preuzeta maliciozna datoteka komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:
* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com
Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.
Nacionalni CERT i CERT ZSIS korisnicima savjetuju blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama.
Evo kako takav mail izgleda.