Nakon razdoblja u kojem su se gotovo svakodnevno događali razni napadi na računalne mreže i računala općenito, s naglaskom na “ransomware” i “Phishing” kampanje, stiglo je i nešto mirnije vrijeme. Ili je barem tako izgledalo, iako je svima jasno da se apsolutna sigurnost više ne može očekivati.
Iz CARNet-ova Nacionalnog CERT-a stiglo je novo upozorenje na “Phishing” kampanju koja lažnim porukama elektroničke pošte od strane navodne Porezne uprave pokušava kompromitirati korisnička računala. Naravno, kao i uvijek, oprez je nužan, a priopćenje CERT-a prenosimo u cijelosti.
VAŽNO! Proteklih dva tjedna zabilježena je phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava. Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'pdv@porezna-uprava.net', dok je u naslovu poruke stajalo 'Novi Zakon za 2018'. U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'.
Niže je slika s prikazom teksta phishing poruke.
Phishing URL kao i pripadajuća domena su blokirani, tj. nisu aktivni, ali pozivamo na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.
Temeljem detaljnije analize zlonamjerne datoteke koju su proveli kolege iz CERT ZSIS-a (Zavod za sigurnost informacijskih sustava) zabilježeno je da pokrenuta preuzeta maliciozna datoteka komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:
* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com
Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.
Nacionalni CERT i CERT ZSIS korisnicima savjetuju blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama.
