Skoči na vsebino

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot, sporočila pa so poslana iz zlorabljenega poštnega predala uporabnika pri enem od madžarskih ponudnikov digitalnih storitev. Gre za skoraj identičen primer, o katerem smo pred nekaj tedni že obveščali preko družabnih omrežij.

Primer lažnega elektronskega sporočila
Primer lažnega elektronskega sporočila

Opis

Analiza je pokazala, da priponka vsebuje LokiBot trojanskega konja, ki se uporablja za krajo poverilnic (uporabniških gesel in digitalnih potrdil) iz okuženega računalnika. Sporočila so razposlana iz zlorabljenega poštnega predala pri enem od madžarskih ponudnikov digitalnih storitev, po zagonu pa se LokiBot javi nadzornemu strežniku v Gruziji.

SI-CERT je o incidentu obvestil NLB banko, ter oba ponudnika v tujini, skupaj z odzivnima centroma za kibernetsko varnost v navedenih državah.

Ukrepanje

V primeru zagona datoteke iz priloge sporočila je potrebno sistem nemudoma izklopiti iz omrežja. Dodatno je potrebno zamenjati vsa gesla, ki so bila shranjena na sistemu, ali so se vpisovala v času okužbe. Svetujemo tudi preklic digitalnih potrdil, katerih zasebni ključi so bili dosegljivi na sistemu, ter novo namestitev sistema oz. ponastavitev na tovarniške nastavitve.

Indokatorji zlorabe (IoC)

Obvestilo o prilivu za 559842973764257pdf.exe

sha256f95571463f0f7282a156e42727d19f40d8ef27f34790d29a63e60a7c4ea4e74d
sha1933d8c61561a289e658c5108a1de4d5b2911979d
md5d98da0f274ce7cfd62453379e0d6f513

Omrežni promet:

IP naslov izvornega poštnega strežnika91.82.208.52
IP naslov nadzornega (C2) strežnika195.69.140.147

Preberite tudi

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več