Iz Nacionalnog CERT-a upozoravaju kako je u protekla dva tjedna zabilježena phishing kampanja s ciljem kompromitacije korisničkog računala, a time i krađe povjerljivih podataka sa sustava. Pošiljatelj poruke predstavljao se u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'pdv@porezna-uprava.net', dok je u naslovu poruke stajalo 'Novi Zakon za 2018', piše tportal.
U tekstu phishing poruke umetnut je phishing URL koji korisniku nudi preuzimanje zlonamjerne datoteke. Phishing URL nalazio se na lažnoj domeni 'porezna-uprava.net'. Phishing URL kao i pripadajuća domena su blokirani, tj.nisu aktivni, ali potreban je oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.
U slučaju pokretanja preuzete maliciozne datoteke, ista komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:
* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com
Nacionalni CERT korisnicima savjetuje blokadu mrežnog prometa navedenim domenama te istovremeno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama. Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.', kažu iz CERT-a.
Evo kako takav mail izgleda:
www.vzaktualno.hr/tportal
