U tijeku je velika phishing kampanja usmjerena na korisnike interneta u Hrvatskoj. Korisnicima se savjetuje da takve poruke brišu iz pristigle pošte, ne slijede i ne otvaraju poveznice i ostale kolege upozore na aktualnu phishing kampanju.
Detalji se nalaze u nastavku uz priloženi primjer poruke elektroničke pošte:
Pošiljatelj: Dostava Eracuna <dostava@moj-eracun.hr>– lažirano “From:” polje
Mail server: tucity.vservers.es [91.142.213.216]
Naziv maila: Popis neplaćenih računa za prosinac 2019. godine
FTP server: ftp[.]dalitecnoimagen[.]cl [208.85.243.132]
Tekst poruke:
Dobro jutro
Pronađite saldo u prilogu prošlog mjeseca i napravite ono što je potrebno.
Očekujemo bolju poslovnu suradnju u novoj godini.
pozdravi
Naziv priloga: Popis neplaćenih računa za prosinac 2019. godine.zip
Analiza:
U zip datoteci se nalazi .exe izvršna datoteka s ikonom mape i nazivom “Popis neplaćenih računa za prosinac 2019. godine.exe.” Iza te izvršne datoteke se nalazi zlonamjerni sadržaj nazvan “Agent Tesla” čija je svrha krađa podataka sa zaraženog korisnikovog računa.
HASH: MD5 68D6A8DA98B575E5350F0FC3AF2C2DC0
SHA1 D32BAF9C79CD1BA6A584AEBA70C10DED7F2A98FE
SHA256 B93D23BD04DB6E6D790BF947E809810588055701777D95D488FF738D14E8FF96SSDEEP
Poslane su prijave pružatelju usluge udomljavanja internetskog sadržaja na čijem se serveru nalazi FTP poslužitelj za spremanje ukradenih podataka i izvoru phishing poruka elektroničke pošte. U porukama se nalaze i adrese nadležnih CERT-ova tih država. U trenutku pisanja upozorenja nismo zaprimili odgovore o statusu rješavanja istih”, stoji na stranici CERT-a.
