Pošiljatelj poruke predstavljao se kao Porezna uprava, a poruke je slao s adrese elektroničke pošte informiranja@porezna-uprava.org., upozorava Nacionalni CERT. Poruka je naslovljena Obavijest o primjeni, a u tekstu poruke se korisnika pozivalo na otvaranje phishing URL-a. Phishing URL nalazio se na lažnoj domeni porezna-uprava.org.

Izgled zlonamjerne phishing poruke

Nakon otvaranja zlonamjerne poveznice sadržane u poruci teksta, na korisnički se uređaj automatski počinje preuzimati izvršna datoteka, a na korisničkom zaslonu se prikazuje slijedeća:

Također, valja napomenuti kako se korisniku nakon preuzimanja i pokretanja izvršne datoteke otvori i tražena .pdf datoteka što ukazuje kako je riječ o složenijem napadu.

Poruke se u trenutku pisanja upozorenja šalju s tri različita poslužitelja:

nodoubt.porezna-uprava.org [178.73.210.165] – Sweden
after.porezna-uprava.org [185.61.148.59] – Latvia
japan.porezna-uprava.org [151.236.18.30] – Italy

Nakon pokretanja preuzete izvršne datoteke, u pozadini se na računalo počinju preuzimati i dodatne izvršne datoteke čiji kriptografski sažetak (SHA256) objavljuje Nacionalni CERT, koji korisnicima savjetuje oprez te brisanje zlonamjerne poruke iz sandučića elektroničke pošte:

SHA256 Primjena-OPZ.exe
9F6F2D00A93D8BB4B6E7FC9B33DE55CA91C567E8E30DE46AE86339F75587768A

SHA256 WinBroker.exe
D2C584D62247A3A7AF046A3B3931FB7521229AEF0CB6E1926A5A1FD398A6AA94

SHA256 g.exe
86350ABC4C2282CB93C3C855D4580B6DD5EA16AC4AE0747856A3CE0BB4D3DC54

SHA256 porezna.exe
D0E20FA78043FEDEA019F232F90F094101137939B4147289519EB531CA0A4118

SHA256 Helper.dll
99A33B9DC5BCAAD144AD29EED458B6101B407BD592A6F22671455BA0FEB0A3FF

Podijeli:

Vezane objave