Skoči na vsebino

SI-CERT 2017-06 / Napadi z lažnimi sporočili v imenu FURS

Povzetek

Uporabnike opozarjamo o ponavljajočih napadih z virusi preko elektronske pošte, pri katerem se napadalci predstavljajo kot Finančna uprava Republike Slovenije.

Elektronski naslov pošiljatelja v sporočilih je ponarejen. Gre za ponavljajoče napade, ki se pojavijo vsakih nekaj mesecev. V identični obliki smo ga prvič zaznali januarja letos.

Lažno elektronsko sporočilo
Lažno elektronsko sporočilo

Po odprtju datoteke Furs.xls v Excelu se prikaže obvestilo, da je za ogled dokumenta potrebno aktivirati makro. Makri v Office dokumentih vsebujejo izvršljivo kodo, in so privzeto onemogočeni.

Okno, ki prikazuje, da dokument zahteva vklop makrov
Dokument zahteva vklop makrov

Če uporabnik omogoči vsebino (klikne na gumb “Enable content” oz. “Omogoči vsebino”), se zažene koda v makru, ki preko zunanjega ukaza v PowerShell-u na sistem iz zunanjega spletnega strežnika prenese dodatno šifrirano kodo z XOR ključem, ter jo izvede.

Zaščita

Uporabnikom, ki prejmejo tako sporočilo, svetujemo da ne odpirajo priloge. Sporočilo lahko posredujejo v analizo na naš elektronski naslov cert@cert.si (če je možno v izvirniku), nato pa ga izbrišejo. Administratorji poštnih strežnikov se lahko obrnejo na nas za pomoč glede zaznave in blokade takih sporočil.

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več