Zavod za sigurnost informacijskih sustava (ZSIS) uočio je novu phishing kampanju koja se širi putem elektroničke pošte i koja je počela 2. prosinca 2019.
Elektronička pošta se širi s legitimnih (ali kompromitiranih) računa elektroničke pošte – trenutno su uočeni računi print@milen89.mycpanel.rs, lidija@udrugapuz.hr i mario@stolarija-milak.hr.
Primjer poruke naveden je u nastavku:
U privitku poruke elektroničke pošte, nalazi se Excel tablica (SHA1: 2d6225d61510c8d0ba4f2f2f759375bfdee5c08f) s ugrađenim makro naredbama. U slučaju omogućenog izvršavanja makro naredbi, automatski se dohvaća dodatni privitak s adrese hxxp://content-delivery.in/verynice.jpg s poslužitelja s IP adresom 217.8.117.64 koji je smješten u Rusiji.
Unatoč datotečnom nastavku jpg, dohvaćeni resurs predstavlja izvršnu (DLL) datoteku koja se smješta na lokalni disk pod imenom Afrodita.dll i pokreće korištenjem rundll32 naredbe.
Navedena izvršna datoteka predstavlja ransomware zlonamjerni program koji kriptira dokumente i druge datoteke pohranjene na računalu.
Zaraza (tj. poslužitelji koji sudjeluju u lancu kompromitacije) su u ovom trenutku još uvijek aktivni!
Općenite preporuke vezane uz ransomware možete pronaći na poveznici:
https://www.zsis.hr/default.aspx?id=385.