UPOZORENJE – Šire se mailovi s malicioznim privitkom!

Nacionalni CERT zabilježio je povećan broj prijava phishing mailova koji imitiraju adrese elektroničke pošte korisnika interneta u Hrvatskoj. Radi se o privatnim i poslovnim e-adresama. E-poruke sadrže maliciozne MS Excel, ZIP ili slične datoteke.

Prema nalazima tvrtke INFIGO IS d.o.o.

Datoteka iz privitka – Excel dokument pokreće lanac koji nakon 4-5 koraka preuzima i instalira Emotet.

Preporuke:

• Kod bilo kojeg korisnika gdje se ustanovi uspješno pokretanje excel datoteke iz privitka treba smatrati visoku razinu ugroze.
• Napad izgleda kao globalna kampanja, a ne ciljani napad prema korisnicima.
• Preporuka je da se ovo ne ignorira.

Sandbox analiza Excel datoteke:

• https://app.any.run/tasks/65fd0ba0-d4c1-4db9-b5f7-cc0425da5166/
• https://www.hybrid-analysis.com/sample/e5fcc11ea5de258ad006ac1f956849bc1507edc1e39829a6b0c547bdde723b9e/61f27975e40dcc346b58dd99

Osnovne informacije o Emotetu i njegovim mogućnostima:

• https://attack.mitre.org/software/S0367/

Final stage payload pokazuje da većina antivirusnih programa potvrđuje Emotet:

• https://www.virustotal.com/gui/file/f46f39f1b8e6e809867fec749c3279db3e32b86605c76ef8bca9e255933de9e4?nocache=1

Po čemu možete prepoznati lažne poruke:

• Lažirana From: polja:
  • S lijeve strane polja pošiljatelja nalazi se imitirana e-adresa osobe ili ustanove, a s desne strane najčešće u zagradi neka strana adresa koja nije povezana s imitiranom adresom
  • Proširite polje podataka o pošiljatelju kako bi vam se prikazalo više podataka!
• Naslovi poruka:
• Izgleda kao Re: ili Fw: (odgovor ili prosljeđivanje e-poruke) na već postojeću komunikaciju
  • Re: upisi srednje………
  • Fw: Božićnica za 2021. godinu
  • Re: Božićnica za 2021. godinu
  • Re: FW: UZ III_šk_god_2019_2020_Obavijest školama koje su dobile odluke o uključivanju pomoćnika u nastavi
• Maliciozni privitak:
  • Report.xls
  • file-272249982914.xls
  • Scan-51547.xls (VBA/TrojanDropper.Agent.CKU)
  • 4214_32001163584.zip (DOC/TrojanDownloader.Agent.DSZ)
  • details_58949.xls
• Tekst e-poruke:
  • tekst poruke na engleskom jeziku
  • sadrži informacije o privitku i lozinki za otvaranje privitka

 

Ako poruka sadrži indikatore sličnog tipa, proslijedite je u formatu .eml/.msg na incident@cert.hr, kako bismo je mogli prijaviti izvoru.

Kod prijave incidenta potrebno je slijediti upute o dostavljanju zaglavlja poruke.

Nacionalni CERT naglašava da ako niste očekivali poruku od tog pošiljatelja i/ili sličnog sadržaja, obavezno provjerite vjerodostojnost poruke koristeći drugi komunikacijski kanal. Savjetujemo da nikad ne otvarate sumnjive privitke i ne odgovarate na poruke koje ne očekujete.

Originalnu vijest možete pratiti na poveznici CARNET CERT-a.