Skoči na vsebino

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot, sporočila pa so poslana iz zlorabljenega poštnega predala uporabnika pri enem od madžarskih ponudnikov digitalnih storitev. Gre za skoraj identičen primer, o katerem smo pred nekaj tedni že obveščali preko družabnih omrežij.

Primer lažnega elektronskega sporočila
Primer lažnega elektronskega sporočila

Opis

Analiza je pokazala, da priponka vsebuje LokiBot trojanskega konja, ki se uporablja za krajo poverilnic (uporabniških gesel in digitalnih potrdil) iz okuženega računalnika. Sporočila so razposlana iz zlorabljenega poštnega predala pri enem od madžarskih ponudnikov digitalnih storitev, po zagonu pa se LokiBot javi nadzornemu strežniku v Gruziji.

SI-CERT je o incidentu obvestil NLB banko, ter oba ponudnika v tujini, skupaj z odzivnima centroma za kibernetsko varnost v navedenih državah.

Ukrepanje

V primeru zagona datoteke iz priloge sporočila je potrebno sistem nemudoma izklopiti iz omrežja. Dodatno je potrebno zamenjati vsa gesla, ki so bila shranjena na sistemu, ali so se vpisovala v času okužbe. Svetujemo tudi preklic digitalnih potrdil, katerih zasebni ključi so bili dosegljivi na sistemu, ter novo namestitev sistema oz. ponastavitev na tovarniške nastavitve.

Indokatorji zlorabe (IoC)

Obvestilo o prilivu za 559842973764257pdf.exe

sha256f95571463f0f7282a156e42727d19f40d8ef27f34790d29a63e60a7c4ea4e74d
sha1933d8c61561a289e658c5108a1de4d5b2911979d
md5d98da0f274ce7cfd62453379e0d6f513

Omrežni promet:

IP naslov izvornega poštnega strežnika91.82.208.52
IP naslov nadzornega (C2) strežnika195.69.140.147

Preberite tudi

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Prva objava: 3. 3. 2021Zadnji popravek: 31. 3. 2021 Povzetek Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi …
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več