Upozorenje! Šire se mailovi s malicioznim privitkom

UPDATE 27.1.2022. Nove informacije označene su crvenim tekstom te je dodana analiza tvrtke INFIGO IS d.o.o.

Nacionalni CERT zabilježio je povećan broj prijava phishing mailova koji imitiraju Ministarstvo znanosti i obrazovanja i slične institucije, CARITAS, zaposlenike CARNET-a, helpdesk@skole.hr, AZOO (Agencija za odgoj i obrazovanje), adrese elektroničke pošte korisnika interneta u Hrvatskoj. Radi se o privatnim i poslovnim e-adresama. privatne korisnike te ciljaju korisnike CARNET mreže i obrazovne djelatnike E-poruke sadrže maliciozne MS Excel, ZIP ili slične datoteke.

Prema nalazima tvrtke INFIGO IS d.o.o.

Datoteka iz privitka – Excel dokument pokreće lanac koji nakon 4-5 koraka preuzima i instalira Emotet.

Preporuke:

• Kod bilo kojeg korisnika gdje se ustanovi uspješno pokretanje Excel datoteke iz privitka treba smatrati visoku razinu ugroze.
• Napad izgleda kao globalna kampanja, a ne ciljani napad prema korisnicima.
• Preporuka je da se ovo ne ignorira.

Sandbox analiza Excel datoteke:

• https://app.any.run/tasks/65fd0ba0-d4c1-4db9-b5f7-cc0425da5166/
• https://www.hybrid-analysis.com/sample/e5fcc11ea5de258ad006ac1f956849bc1507edc1e39829a6b0c547bdde723b9e/61f27975e40dcc346b58dd99

Osnovne informacije o Emotetu i njegovim mogućnostima:

• https://attack.mitre.org/software/S0367/

Final stage payload pokazuje da većina antivirusnih programa potvrđuje Emotet:

• https://www.virustotal.com/gui/file/f46f39f1b8e6e809867fec749c3279db3e32b86605c76ef8bca9e255933de9e4?nocache=1

Po čemu možete prepoznati lažne poruke:

• Lažirana From: polja:
  • S lijeve strane polja pošiljatelja nalazi se imitirana e-adresa osobe ili ustanove, a s desne strane najčešće u zagradi neka strana adresa koja nije povezana s imitiranom adresom
  • Proširite polje podataka o pošiljatelju kako bi vam se prikazalo više podataka!
• Naslovi poruka:
• Izgleda kao Re: ili Fw: (odgovor ili prosljeđivanje e-poruke) na već postojeću komunikaciju
  • Re: upisi srednje………
  • Fw: Božićnica za 2021. godinu
  • Re: Božićnica za 2021. godinu
  • Re: FW: UZ III_šk_god_2019_2020_Obavijest školama koje su dobile odluke o uključivanju pomoćnika u nastavi
• Maliciozni privitak:
  • Report.xls
  • file-272249982914.xls
  • Scan-51547.xls (VBA/TrojanDropper.Agent.CKU)
  • 4214_32001163584.zip (DOC/TrojanDownloader.Agent.DSZ)
  • details_58949.xls
• Tekst e-poruke:
  • tekst poruke na engleskom jeziku
  • sadrži informacije o privitku i lozinki za otvaranje privitka

Ako poruka sadrži indikatore sličnog tipa, proslijedite je u formatu .eml/.msg na incident@cert.hr, kako bismo je mogli prijaviti izvoru.

Kod prijave incidenta potrebno je slijediti instructions o dostavljanju zaglavlja poruke.

Nacionalni CERT naglašava da ako niste očekivali poruku od tog pošiljatelja i/ili sličnog sadržaja, obavezno provjerite vjerodostojnost poruke koristeći drugi komunikacijski kanal. Savjetujemo da nikad ne otvarate sumnjive privitke i ne odgovarate na poruke koje ne očekujete.