Povzetek
Uporabnike opozarjamo o ponavljajočih napadih z virusi preko elektronske pošte, pri katerem se napadalci predstavljajo kot Finančna uprava Republike Slovenije.
Elektronski naslov pošiljatelja v sporočilih je ponarejen. Gre za ponavljajoče napade, ki se pojavijo vsakih nekaj mesecev. V identični obliki smo ga prvič zaznali januarja letos.
Po odprtju datoteke Furs.xls v Excelu se prikaže obvestilo, da je za ogled dokumenta potrebno aktivirati makro. Makri v Office dokumentih vsebujejo izvršljivo kodo, in so privzeto onemogočeni.
Če uporabnik omogoči vsebino (klikne na gumb “Enable content” oz. “Omogoči vsebino”), se zažene koda v makru, ki preko zunanjega ukaza v PowerShell-u na sistem iz zunanjega spletnega strežnika prenese dodatno šifrirano kodo z XOR ključem, ter jo izvede.
Zaščita
Uporabnikom, ki prejmejo tako sporočilo, svetujemo da ne odpirajo priloge. Sporočilo lahko posredujejo v analizo na naš elektronski naslov cert@cert.si (če je možno v izvirniku), nato pa ga izbrišejo. Administratorji poštnih strežnikov se lahko obrnejo na nas za pomoč glede zaznave in blokade takih sporočil.