Preiskava sporočil je pokazala, da korespondenca najverjetneje izvira iz zlorabe dostopa do poštnega predala pošiljatelja. Podatek o tem, na kakšen način napadalci pridobijo dostop do korespondence, trenutno še ni znan, pravijo na Si-Certu.
Napadalci škodljivo sporočilo pošljejo iz drugega poštnega predala pri tujem ponudniku. Sporočilo lahko vsebuje besedilo v angleškem jeziku, ki prejemnika poziva k odprtju pripetega dokumenta.
Primeri okuženih sporočil
Okuženo sporočilo vsebuje naslednje elemente:
• v polju pošiljatelja sta navedena ime in priimek znane osebe (s katero smo v preteklosti že komunicirali) ter neznan elektronski naslov
• priložen je Word dokument (s končnico .doc)
Vsebina sporočila lahko vsebuje tudi:
• stavek ali dva v angleškem jeziku
• ime, priimek in elektronski naslov znane osebe (kot podpis)
• vsebino predhodne korespondence
Okužba računalnika
Do okužbe računalnika pride v primeru, če uporabnik v Windows sistemu odpre priložen Wordov dokument in omogoči izvajanje makrov. Dokument po odprtju prikaže obvestilo, da je za ogled vsebine potrebno vklopiti možnost "Enable Content" ("omogoči vsebino").
Z vklopom te možnosti se omogoči izvajanje makrov, s čimer se aktivira škodljiva koda, ki iz tujega spletnega strežnika na sistem prenese in izvrši nov zlonameren program, hkrati pa z namenom zavajanja uporabnika izpiše obvestilo o napaki, pojasnjujejo strokovnjaki.
V večini analiziranih primerov je bila na sistem prenesena varianta virusa Emotet, ki spada v kategorijo škodljive kode vrste "information stealer". Nekatere od funkcionalnosti virusov te vrste so:
• kraja shranjenih gesel iz brskalnikov, klientov za elektronsko pošto, klientov za hipno sporočanje ipd.
• kraja digitalnih potrdil in drugih avtentikacijskih podatkov
• namestitev keyloggerja
• persistentna komunikacija z nadzornim strežnikom napadalca
• periodično generiranje posnetkov zaslona in pošiljanje le-teh na nadzorni strežnik
• možnost prenosa dodatnih škodljivih programov (npr. izsiljevalskega kripto virusa, orodij za vdiranje v druge sisteme ipd.)
Kako se zaščititi?
V primeru okužbe je treba sistem nemudoma izklopiti iz omrežja ter ponovno namestiti operacijski sistem oz. ga ponastaviti na tovarniške nastavitve. Potrebna je tudi menjava vseh gesel kot tudi preklic digitalnih potrdil, katerih zasebni ključi so bili v času okužbe dosegljivi na okuženem sistemu.
Če prejmete tako sporočilo, ga posredujte v analizo na cert@cert.si, ter po potrebi obvestite administratorja vašega poštnega strežnika.
KOMENTARJI (15)
Opozorilo: 297. členu Kazenskega zakonika je posameznik kazensko odgovoren za javno spodbujanje sovraštva, nasilja ali nestrpnosti.