Izberite jezik

Sporočilo “Potrdilo o rezervaciji / račun” z okuženo priponko

08.01.2020

Danes zjutraj med 6 in 8 uro je bilo na nekaj tisoč slovenskih elektronskih naslovov poslano el. sporočilo z naslednjo vsebino:

From: info@carltonhotel.site
Sent: Wednesday, January 08, 2020 7:11 AM
To: undisclosed-recipients:
Subject: Potrdilo o rezervaciji / račun
 

Dobro jutro,

hvala, ker ste rezervirali pri nas.
Z veseljem bomo potrdili vašo rezervacijo.
Oglejte si priložen račun. V primeru dodatnih vprašanj nas kontaktirajte.

Hvala vam

Prijazni pozdravi

Laura Guntas
-Računavanje-

Sporočilu je bila priložena datoteka 202001.019887.DOC.img velikosti 1216 KB. Gre za zlonamerno datoteko, ki po zagonu iz spletnega strežnika prenese dodatno škodljivo kodo in jo izvede. Virus vrste “information stealer” na sistemu poišče vsa shranjena gesla v brskalnikih, odjemalcih za elektronsko pošto, FTP klientih, programih za hipno sporočanje ipd., ter podatke pošlje preko napadalcu. Virus prav tako beleži pritiske na tipke in vsebino na odložišču (clipboard).

IOC (indicators of compromise)

Spremembe v datotečnem sistemu:

Dodana mapa  %userprofile%\Bruck 
Dodana datoteka: %userprofile%\Bruck\HAMS.exe

Dodan ključ v registru:

Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Name: Veget4
Data: c:\users\user\bruck\hams.exe 09-Apr-10 7:33 AM   

Omrežne povezave:

http://indiga.xyz/Key16.exe_encrypted.bin (192.236.163.233:80)
smtp://smtp.ionos.es (213.165.67.118:587)

Priporočeni ukrepi

V primeru odprtja priponke elektronske pošte in zagonu datoteke priporočamo izklop računalnika iz omrežja ter pregled sistema s posodobljenim antivirusnim programom. Prav tako priporočamo takojšnjo spremembo vseh gesel, tako shranjenih kot vpisanih v času okužbe. Gesla je potrebno spremeniti na čistem računalniku.