Skoči na vsebino

SI-CERT 2017-06 / Napadi z lažnimi sporočili v imenu FURS

Povzetek

Uporabnike opozarjamo o ponavljajočih napadih z virusi preko elektronske pošte, pri katerem se napadalci predstavljajo kot Finančna uprava Republike Slovenije.

Elektronski naslov pošiljatelja v sporočilih je ponarejen. Gre za ponavljajoče napade, ki se pojavijo vsakih nekaj mesecev. V identični obliki smo ga prvič zaznali januarja letos.

Lažno elektronsko sporočilo
Lažno elektronsko sporočilo

Po odprtju datoteke Furs.xls v Excelu se prikaže obvestilo, da je za ogled dokumenta potrebno aktivirati makro. Makri v Office dokumentih vsebujejo izvršljivo kodo, in so privzeto onemogočeni.

Okno, ki prikazuje, da dokument zahteva vklop makrov
Dokument zahteva vklop makrov

Če uporabnik omogoči vsebino (klikne na gumb “Enable content” oz. “Omogoči vsebino”), se zažene koda v makru, ki preko zunanjega ukaza v PowerShell-u na sistem iz zunanjega spletnega strežnika prenese dodatno šifrirano kodo z XOR ključem, ter jo izvede.

Zaščita

Uporabnikom, ki prejmejo tako sporočilo, svetujemo da ne odpirajo priloge. Sporočilo lahko posredujejo v analizo na naš elektronski naslov cert@cert.si (če je možno v izvirniku), nato pa ga izbrišejo. Administratorji poštnih strežnikov se lahko obrnejo na nas za pomoč glede zaznave in blokade takih sporočil.

Preberite tudi

SI-CERT 2021-06 / Kritična ranljivost Java knjižnice Apache Log4j

V programski knjižnici Java logging library Log4j je bila odkrita kritična ranljivost, ki napadalcem omogoča izvajanje poljubne kode na sistemu
Več

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več