U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'.
Niže je slika s prikazom teksta phishing poruke.
Phishing URL kao i pripadajuća domena su blokirani, tj. nisu aktivni, ali pozivamo na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.
U slučaju pokretanja preuzete maliciozne datoteke, ista komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:
* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com
Nacionalni CERT korisnicima savjetuje blokadu mrežnog prometa prema gore navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama.
Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.