Iz CERT-a upozoravaju na ucjenjivačku kampanju koja se širi e-mailom te zlonamjerni sadržaj Emotet

Iz CERT-a su objavili dva upozorenja o dvije zlonamjerne kampanje koje se odvijaju ovih dana u hrvatskom internetskom prostoru.

Kako ističu, posljednjih su dana zabilježili velik broj prijava vezanih uz zlonamjerni sadržaj (malware) Emotet.

U trenutnoj inačici zlonamjerni sadržaj se širi na način da “odgovara” na razgovore e-pošte već zaraženih računala. Treba uzeti u obzir da se same e-poruke ne šalju s računala s kojeg su razgovori e-pošte ukradeni nego nekog drugog računala koje je dio botnet mreže, upozoravaju iz CERT-a.

Pojašnjavaju kako takve zlonamjerne e-poruke sadrže lozinkom zaštićenu ZIP datoteku čija se lozinka nalazi u samom tekstu e-poruke (na taj način napadači pokušavaju zaobići neke od sigurnosnih zaštita). U ZIP datoteci se nalazi Word dokument koji sadrži zlonamjernim macro naredbu koja služi za preuzimanje i pokretanje dodatnog zlonamjernog sadržaja.

Primijetili smo veliki broj različitih tekstova u samim phishing e-porukama poput "Naknada troškova prijevoza", "Smjernice za rad školskih knjižnica za vrijeme trajanja COVID-19 pandemije", "Sastanak s ministrom", "Potvrda za zaposlenje dodatnih čistačica", "Stručno usavršavanje" i sličnih, ističu iz CERT-a.

Upozoravaju kako se često poruka predstavlja kao odgovor na ranije poslanu poruku, čime se želi dodatno zbuniti primatelja i potaknuti ga na otvaranje datoteke.

Nacionalni CERT radi na obradi podataka te ćemo što prije obavijesti korisnike (odnosno nama dostupne kontakte za pojedine IP adrese) za koje imamo podatak da su komunicirali s kontrolnim poslužiteljima (što je prilično siguran indikator kompromitacije) ili su preuzmali zlonamjerni sadržaj (ovo ne mora nužno rezultirati s kompromitacijom. Na primjer, antivirusni software zaustavi pokretanje zlonamjernog sadržaja nakog preuzimanja), napominju iz CERT-a.

Ucjenjivačka kampanja koja želi opljačkati žrtvu

Iz CERT-a također upozoravaju na veći broj lažnih ucjenjivačkih poruka kojima napadač pokušava iznuditi novčanu dobit od žrtve, a prema posljednjim informacijama na račun za uplatu je u trenutku pisanja ovog upozorenja već izvršeno najmanje 2 uplata.

Na stranicama usluge Bitcoin Abuse Database za navedenu Bitcoin adresu zabilježena je već 19 prijava.

Metodu kojom napadač pokušava ostvariti financijsku dobit temelji na objavljivanju navodnih osjetljivih snimaka žrtve koja je primila ucjenjivačku poruku ako žrtva ne izvrši uplatu u bitcoinima u vrijednosti od 750 eura. Kako bi poruku učinio što uvjerljivijom, napadač je lažirao adresu pošiljatelja kako bi bila istovjetna adresi primatelja.

Važno je napomenuti kako poruka elektroničke pošte ne sadrži nikakav zlonamjerni sadržaj, a korisnike savjetujemo da ovu i sve ostale poruke ovoga tipa zanemare te uklone iz svojeg sandučića elektroničke pošte, ističu u CERT-u.