Pozor: Kroži zlonamerno elektronsko sporočilo, češ, da je iz NIJZ
Pri SI-CERTu, ki je nacionalni odzivni center za kibernetsko varnost, opozarjajo, da so se pojavila lažna spletna sporočila, ki zlorabljajo znak Nacionalnega inštituta za javno zdravje. Vse, ki bi morebiti dobili elektronsko sporočilo opozarjajo, da gre za prevaro in priporočajo, da sporočilo nemudoma zbrišete in ne odpirate nobenih navedenih povezav.
“Dne 12.6.2020 smo zaznali drugi val napada po elektronski pošti z podobno vsebino. Priloga sporočila v drugem valu vsebuje priponki “Prijavnica za distribucijo zaščitne opreme covid-19.pot” in “Preventivni ukrepi Covid-19.ppt”. Gre za Powerpoint datoteki, ki vsebujeta zlonamerno makro skripto. Ta na okužen sistem prenese dodatno kodo in jo izvede. Preliminarna analiza kaže, da gre tudi v tem primeru za virus vrste “information stealer”.
2.6.2020 okoli 12 ure je bilo na večje število slovenskih elektronskih naslovov poslano sporočilo z zadevo ” Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020″. Sporočilo vsebuje zip arhiv “prijavnica za preventivno opremo·pdf.zip”, ki vsebuje datoteko “prijavnica za preventivno opremo·pdf.exe”. Exe datoteka je virus vrste lokibot, ki spada v kategorijo “information stealer” virusov,” sporočajo iz SI-CERTa.
Po zagonu prenese dodatno binarno kodo iz https://drive.google.com in jo izvede. Prvotno izvršljivo datoteko izbriše. Analiza ni pokazala prisotnosti mehanizmov za persistentnost med zagoni sistema. Virus vsebuje funkcionalnost keyloggerja, krade pa tudi shranjene poverilnice (gesla) v različnih programih, med drugimi: Opera, Chromodo, Coowon, Titan Browser, Microsoft Sticky Notes, Mustang Browser, Google Chrome, Notezilla, Epic Privacy Browser, 360 Browser, Citrio, Orbitum, Iridium, TrulyMail, Superbird, Yandex Browser, Xftp, BlazeFTP, Automize, Filezilla, AbleFTP, Gmail Notifier Pro, in drugi.
“V primeru zagona datoteke “prijavnica za preventivno opremo·pdf.exe” je potrebno sistem nemudoma izklopiti iz omrežja. Dodatno je potrebno zamenjati vsa gesla, ki so bila shranjena na sistemu, ali so se vpisovala po okužbi, ter preklic digitalnih potrdil, katerih zasebni ključi so bili dosegljivi na sistemu. Priporočamo, da se okužen sistem na novo namesti oz. ponastavi na tovarniške nastavitve,” še sporočajo iz SI-CERTa.