Zavod za sigurnost informacijskih sustava (ZSIS) je uočio novu phishing kampanju koja se širi putem elektroničke pošte, a trajala je tijekom 3. i 4. rujna 2020. godine.

Radi se o poruci elektroničke pošte sa zlonamjernim privitkom u kojoj napadač kroz sadržaj naslova i poruke pokušava nagovoriti primatelja na otvaranje zlonamjernog privitka zavaravajući ga da se radi o obrascu putem kojeg se može doći do besplatne COVID-19 zaštitne opreme.

U slučaju da korisnik otvori i pokrene zlonamjerni izvršni program iz privitka, program prikuplja podatke o lozinkama i prijavama koje korisnik ima na računalu te šalje rezultate prema poslužitelju 195.69.140.147 (port TCP 80) putem protokola HTTP. Radi se o inačici Lokibot zlonamjernog programa.

U ovakvim slučajevima phishing napada koji uključuju zlonamjerne privitke ZSIS preporuča svojim korisnicima da prije otvaranja privitka provjere s pošiljateljem radi li se o legitimnom privitku, pogotovo ako se radi o elektroničkoj poruci koja dolazi izvan organizacije korisnika.

Značajke o zlonamjernoj elektroničkoj pošti:
    Pošiljatelj (From): 'Ministarstvo zdravlja Hrvatska <covid-19@zdravlje.gov.hr>'
    Primatelj (To): 'undisclosed-recipients'
    Naziv (Subject): ' Besplatna distribucija zaštitne opreme Covid-19 (Ministarstvo zdravlja)'
    Privitak (Attachment): 'covid-19_besplatna zaštitna oprema·pdf.zip'
    Izvorni poslužitelj poruke: 45.147.162.225 (mail.moxiege.tk)

Izgled poruke vidljiv je na sljedećoj slici: