Skoči na vsebino

Sporočilo “Potrdilo o rezervaciji / račun” z okuženo priponko

Danes zjutraj med 6 in 8 uro je bilo na nekaj tisoč slovenskih elektronskih naslovov poslano el. sporočilo z naslednjo vsebino:

From: info@carltonhotel.site
Sent: Wednesday, January 08, 2020 7:11 AM
To: undisclosed-recipients:
Subject: Potrdilo o rezervaciji / račun
 

Dobro jutro,

hvala, ker ste rezervirali pri nas.
Z veseljem bomo potrdili vašo rezervacijo.
Oglejte si priložen račun. V primeru dodatnih vprašanj nas kontaktirajte.

Hvala vam

Prijazni pozdravi

Laura Guntas
-Računavanje-

Sporočilu je bila priložena datoteka 202001.019887.DOC.img velikosti 1216 KB. Gre za zlonamerno datoteko, ki po zagonu iz spletnega strežnika prenese dodatno škodljivo kodo in jo izvede. Virus vrste “information stealer” na sistemu poišče vsa shranjena gesla v brskalnikih, odjemalcih za elektronsko pošto, FTP klientih, programih za hipno sporočanje ipd., ter podatke pošlje preko napadalcu. Virus prav tako beleži pritiske na tipke in vsebino na odložišču (clipboard).

IOC (indicators of compromise)

Spremembe v datotečnem sistemu:

Dodana mapa  %userprofile%\Bruck 
Dodana datoteka: %userprofile%\Bruck\HAMS.exe

Dodan ključ v registru:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Name: Veget4
Data: c:\users\user\bruck\hams.exe 09-Apr-10 7:33 AM   

Omrežne povezave:

http://indiga.xyz/Key16.exe_encrypted.bin (192.236.163.233:80)
smtp://smtp.ionos.es (213.165.67.118:587)

Priporočeni ukrepi

V primeru odprtja priponke elektronske pošte in zagonu datoteke priporočamo izklop računalnika iz omrežja ter pregled sistema s posodobljenim antivirusnim programom. Prav tako priporočamo takojšnjo spremembo vseh gesel, tako shranjenih kot vpisanih v času okužbe. Gesla je potrebno spremeniti na čistem računalniku.

Preberite tudi

Konferenca o ozaveščanju o kibernetski varnosti

Agencija EU za kibernetsko varnost ENISA v partnerstvu s SI-CERT organizira prvo mednarodno konferenco o ozaveščanju o kibernetski varnosti. Dogodek bo potekal 27. novembra 2024, v Klubu Cankarjevega doma, s …
Več

Statistika SI-CERT za prvo polovico leta 2024

Za trend prve polovice 2024 smo izbrali ciljanje na mobilne naprave, najbolj očitno gre za lažna SMS sporočila (smishing) v imenu bank in dostavnih služb. Na te se usmerjajo tudi vedno bolj napredni trojanci za krajo podatkov za dostop do mobilnih denarnic.
Več

CrowdStrike izpad in posledice v Sloveniji

Ob pospešeni digitalizaciji različnih vidikov družbe postajamo vedno bolj odvisni od informacijskih sistemov. Kako odporni so le-ti na izpade?
Več