Skoči na vsebino

SI-CERT 2018-06 / Zlonamerno sporočilo v imenu Dars

Na slovenske elektronske predale je v zadnjih dneh zaokrožilo sporočilo, ki izgleda, kot da vam Dars v priponki pošilja račun. Temu seveda ni tako, ampak gre v tem primeru za zlorabo imena podjetja, da bi s tem sporočilu dalo legitimnost in prejemnika prepričalo v odpiranje priponke. Naslov sporočila je lahko različen, vsebina pa v angleškem jeziku razlaga, da se račun nahaja v priponki.

Primer elektronskega sporočila
Primer elektronskega sporočila

Okužba

Priponka v sporočilu je MS Word datoteka (.doc), ki vsebuje makro.

Izsek kode, ki prikazuje, da priponka vsebuje makro
Priponka vsebuje makro

Če makre omogočimo, se zežene Powershell proces, ki izvede povezavo na eno izmed domen navedenih v nizu.

Iz domene se izvrši prenos in nato samodejni zagon izvršljive (.exe) datoteke, ki sistem okuži z bančnim trojancem. Bančni trojanec spremlja delo na sistemu, krade podatke, kot npr. certifikate, pristopna gesla, ipd, ter jih pošilja na oddaljen naslov.

Ime prenesene datoteke je naključno generirano iz številk (primer 11985.exe), ki se po prenosu, v danem primeru, preimenuje v Kji.exe in shrani na:

“C:\Users\%user%\AppData\Local\Temp\Kji.exe”

Izsek kode, ki prikazuje, kako se preimenuje in shrani prenesena datoteka
Ime datoteke se po prenosu preimenuje v Kji.exe

Po zagonu Kji.exe datoteke, se zažene nov proces, ki v mapi “C:\WINDOWS\SysWOW64” generira izvršljivo datoteko, v danem primeru z imenom “chunkcolorer.exe”. Ko se proces zaključi, se datoteka Kji.exe pobriše iz mape Temp.

Datoteka "chunkcolorer.exe" se zapiše v zagonsko mapo, s čimer zagotovi, da se zažene ob vsakem zagonu računalnika.
Datoteka “chunkcolorer.exe” se zapiše v zagonsko mapo, s čimer zagotovi, da se zažene ob vsakem zagonu računalnika.

Ukrepanje po okužbi

V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja, ter ponovno namestiti operacijski sistem. Potrebna je tudi menjava vseh gesel kot tudi preklic certifikatov katerih privatni ključi so bili v času okužbe dosegljivi.

Preberite tudi

SI-CERT 2021-03 Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več

SI-CERT 2021-02 / Kritične ranljivosti Exim poštnega strežnika

V sistemu za posredovanje e-sporočil (MTA) Exim je bilo odkritih več varnostnih pomanjkljivosti, med njimi so tudi take, ki omogočajo izvajanje ukazov na daljavo s povišanimi (root) pravicami (remote command execution – RCE). Ranljivosti so prisotne v vseh različicah Exim MTA izdanih do trenutno zadnje verzije 4.94.2. Vsem uporabnikom svetujemo takojšnjo posodobitev na zadnjo dostopno različico.
Več

SI-CERT 2021-01 / Kritične ranljivosti Microsoft Exchange strežnikov

Microsoft je izdal popravke, s katerimi je zakrpal več 0-day kritičnih ranljivosti Microsoft Exchange strežnikov. Po podatkih Microsofta naj bi se pred izdajo popravkov ranljivosti že izkoriščale v posameznih napadih, po podatkih drugih odzivnih centrov pa naj bi bil obseg izkoriščanja ranljivosti precej večji, kot je bilo prvotno domnevano.
Več