Skoči na vsebino

SI-CERT 2018-06 / Zlonamerno sporočilo v imenu Dars

Na slovenske elektronske predale je v zadnjih dneh zaokrožilo sporočilo, ki izgleda, kot da vam Dars v priponki pošilja račun. Temu seveda ni tako, ampak gre v tem primeru za zlorabo imena podjetja, da bi s tem sporočilu dalo legitimnost in prejemnika prepričalo v odpiranje priponke. Naslov sporočila je lahko različen, vsebina pa v angleškem jeziku razlaga, da se račun nahaja v priponki.

Primer elektronskega sporočila
Primer elektronskega sporočila

Okužba

Priponka v sporočilu je MS Word datoteka (.doc), ki vsebuje makro.

Izsek kode, ki prikazuje, da priponka vsebuje makro
Priponka vsebuje makro

Če makre omogočimo, se zežene Powershell proces, ki izvede povezavo na eno izmed domen navedenih v nizu.

Iz domene se izvrši prenos in nato samodejni zagon izvršljive (.exe) datoteke, ki sistem okuži z bančnim trojancem. Bančni trojanec spremlja delo na sistemu, krade podatke, kot npr. certifikate, pristopna gesla, ipd, ter jih pošilja na oddaljen naslov.

Ime prenesene datoteke je naključno generirano iz številk (primer 11985.exe), ki se po prenosu, v danem primeru, preimenuje v Kji.exe in shrani na:

“C:\Users\%user%\AppData\Local\Temp\Kji.exe”

Izsek kode, ki prikazuje, kako se preimenuje in shrani prenesena datoteka
Ime datoteke se po prenosu preimenuje v Kji.exe

Po zagonu Kji.exe datoteke, se zažene nov proces, ki v mapi “C:\WINDOWS\SysWOW64” generira izvršljivo datoteko, v danem primeru z imenom “chunkcolorer.exe”. Ko se proces zaključi, se datoteka Kji.exe pobriše iz mape Temp.

Datoteka "chunkcolorer.exe" se zapiše v zagonsko mapo, s čimer zagotovi, da se zažene ob vsakem zagonu računalnika.
Datoteka “chunkcolorer.exe” se zapiše v zagonsko mapo, s čimer zagotovi, da se zažene ob vsakem zagonu računalnika.

Ukrepanje po okužbi

V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja, ter ponovno namestiti operacijski sistem. Potrebna je tudi menjava vseh gesel kot tudi preklic certifikatov katerih privatni ključi so bili v času okužbe dosegljivi.

Preberite tudi

SI-CERT 2020-07 / Zlonamerna koda v potvorjenih sporočilih v imenu NLB

Večje število slovenskih uporabnikov je danes prejelo potvorjeno elektronsko sporočilo, v imenu NLB banke. V priponki se nahaja zlonamerna koda LokiBot
Več

SI-CERT 2020-06 / Kritična ranljivost Windows DNS strežnika

Kritična ranljivost Windows DNS strežnika omogoča zagon poljubne kode na daljavo s pravicami uporabnika Local System Account.
Več

SI-CERT 2020-05 / Lažno sporočilo NIJZ

Na večje število slovenskih elektronskih naslovov je poslano sporočilo z zadevo "Distribucija zaščitne opreme Covid-19 (Ministrstvo za zdravje Slovenija) Junij 2020". Sporočilo vsebuje zip arhiv.
Več