Po spletu krožijo okužena sporočila s preteklo korespondenco.

Na slovenske elektronske predale so v zadnjih dneh zaokrožila sporočila, ki v nekaterih primerih vsebujejo prejemnikovo preteklo korespondenco na videz legitimnega pošiljatelja, pripeta pa imajo škodljiv Word dokument.

Preiskava sporočil je pokazala, da korespondenca najverjetneje izvira iz zlorabe dostopa do poštnega predala pošiljatelja. Podatek o tem, kako napadalci pridobijo dostop do korespondence, trenutno še ni znan. Napadalci škodljivo sporočilo pošljejo iz drugega poštnega predala pri tujem ponudniku. Sporočilo lahko vsebuje besedilo v angleškem jeziku, ki prejemnika poziva k odprtju pripetega dokumenta, opozarjajo na nacionalnem odzivnem centru za kibernetsko varnost.

Vir: SI CERT

Okuženo sporočilo vsebuje naslednje elemente:

  • V polju pošiljatelja sta navedena ime in priimek znane osebe ter neznan elektronski naslov,
  • priložen Word dokument (s končnico .doc).

Vsebina sporočila lahko vsebuje tudi:

  • stavek ali dva v angleškem jeziku,
  • ime, priimek in elektronski naslov znane osebe,
  • vsebino predhodne korespondence.
Vir: SI CERT

Tako pride do okužbe računalnika

Do okužbe računalnika pride v primeru, če uporabnik v Windows sistemu odpre priložen Wordov dokument in omogoči izvajanje makrov. Dokument po odprtju prikaže obvestilo, da je za ogled vsebine potrebno vklopiti možnost ‘Omogoči vsebino’.

Vir: SI CERT

Z vklopom te možnosti se omogoči izvajanje makrov, s čimer se aktivira škodljiva koda, ki iz tujega spletnega strežnika na sistem prenese in izvrši nov zlonameren program, hkrati pa z namenom zavajanja uporabnika izpiše obvestilo o napaki.

V večini analiziranih primerov je bila na sistem prenesena varianta virusa Emotet, ki spada v kategorijo škodljive kode vrste, ki jih imenujemo »information stealer«. Nekatere od funkcionalnosti virusov te vrste so:

  • kraja shranjenih gesel iz brskalnikov, klientov za elektronsko pošto, klientov za hipno sporočanje,
  • kraja digitalnih potrdil,
  • persistentna komunikacija z nadzornim strežnikom napadalca
  • periodično generiranje posnetkov zaslona in pošiljanje teh na nadzorni strežnik,
  • možnost prenosa dodatnih škodljivih programov (na primer izsiljevalskega kripto virusa, orodij za vdiranje v druge sisteme).
Vir: SI CERT

V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja ter ponovno namestiti operacijski sistem oziroma ga ponastaviti na tovarniške nastavitve. Potrebna je tudi menjava vseh gesel kot tudi preklic digitalnih potrdil, katerih zasebni ključi so bili v času okužbe dosegljivi na okuženem sistemu, še opozarjajo na nacionalnem odzivnem centru za kibernetsko varnost.

Če prejmete tako sporočilo, ga posredujte v analizo na ta spletni naslov: [email protected]. Po potrebi tudi obvestite administratorja vašega poštnega strežnika.

Komentarji (0)

S klikom na gumb Komentiraj se strinjate s pravili komentiranja.

Kakšne barve je sonce?

Starejše novice