Danes zjutraj med 6 in 8 uro je bilo na nekaj tisoč slovenskih elektronskih naslovov poslano el. sporočilo z naslednjo vsebino:
From: info@carltonhotel.site Sent: Wednesday, January 08, 2020 7:11 AM To: undisclosed-recipients: Subject: Potrdilo o rezervaciji / račun Dobro jutro, hvala, ker ste rezervirali pri nas. Z veseljem bomo potrdili vašo rezervacijo. Oglejte si priložen račun. V primeru dodatnih vprašanj nas kontaktirajte. Hvala vam Prijazni pozdravi Laura Guntas -Računavanje-
Sporočilu je bila priložena datoteka 202001.019887.DOC.img velikosti 1216 KB. Gre za zlonamerno datoteko, ki po zagonu iz spletnega strežnika prenese dodatno škodljivo kodo in jo izvede. Virus vrste “information stealer” na sistemu poišče vsa shranjena gesla v brskalnikih, odjemalcih za elektronsko pošto, FTP klientih, programih za hipno sporočanje ipd., ter podatke pošlje preko napadalcu. Virus prav tako beleži pritiske na tipke in vsebino na odložišču (clipboard).
IOC (indicators of compromise)
Spremembe v datotečnem sistemu:
Dodana mapa %userprofile%\Bruck
Dodana datoteka: %userprofile%\Bruck\HAMS.exe
Dodan ključ v registru:
Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce Name: Veget4 Data: c:\users\user\bruck\hams.exe 09-Apr-10 7:33 AM
Omrežne povezave:
http://indiga.xyz/Key16.exe_encrypted.bin (192.236.163.233:80) smtp://smtp.ionos.es (213.165.67.118:587)
Priporočeni ukrepi
V primeru odprtja priponke elektronske pošte in zagonu datoteke priporočamo izklop računalnika iz omrežja ter pregled sistema s posodobljenim antivirusnim programom. Prav tako priporočamo takojšnjo spremembo vseh gesel, tako shranjenih kot vpisanih v času okužbe. Gesla je potrebno spremeniti na čistem računalniku.