Nacionalni CERT upozorio na novu phishing kampanju koja se predstavlja kao Porezna uprava

Proteklih dva tjedna zabilježena je phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava. Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi „[email protected]“, dok je u naslovu poruke stajalo „Novi Zakon za 2018“. U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni „porezna-uprava.net“.

Niže je slika s prikazom teksta phishing poruke.

Phishing URL kao i pripadajuća domena su blokirani, tj.  nisu aktivni, ali se poziva na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.

Temeljem detaljnije analize zlonamjerne datoteke koju je proveo CERT ZSIS (Zavod za sigurnost informacijskih sustava) zabilježeno je da pokrenuta preuzeta maliciozna datoteka komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:

• consaltingsolutionshere.com
• kimdotcomfriends.com
• bestfriendsroot.com

Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.

Nacionalni CERT i CERT ZSIS korisnicima savjetuju blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama.