Zavod za sigurnost informacijskih sustava upozorio je na novu phishing kampanju koja se prije tri dana počela širiti mailom.
Mailovi dolaze s legitimnih, ali i kompromitiranih računa elektroničke pošte, a neki od uočenih su print@milen89.mycpanel.rs, lidija@udrugapuz.hr i mario@stolarija-milak.hr.
Jedna od takvih poruka ima naslov Poziv na plaćanje, a u sadržaju maila piše: "Poštovani, u prilogu ponovno šaljemo račun za koji još nismo primili uplatu. Molimo Vas da podmirite dugovanje u što kraćem roku, kako bismo izbjegli daljnje troškove. Hvala, Mario"
S obzirom na navedeni sadržaj, za pretpostaviti je da su najugroženiji neinformirani korisnici u računovodstvima tvrtki koji bi mogli otvoriti Excel tablicu u privitku kako bi provjerili o čemu se radi. A u tablici su ugrađene makro naredbe. U slučaju omogućenog izvršavanja makro naredbi, automatski se dohvaća dodatni privitak s adrese hxxp://content-delivery.in/verynice.jpg s poslužitelja s IP adresom 217.8.117.64 koji je smješten u Rusiji.
Unatoč datotečnom nastavku jpg, dohvaćeni resurs predstavlja izvršnu (DLL) datoteku koja se smješta na lokalni disk pod imenom Afrodita.dll i pokreće korištenjem rundll32 naredbe.
Navedena izvršna datoteka predstavlja ransomware zlonamjerni program koji kriptira dokumente i druge datoteke pohranjene na računalu.
Zaraza (tj. poslužitelji koji sudjeluju u lancu kompromitacije) su u ovom trenutku još uvijek aktivni.
