Prvi phishing na srpskom!

Upozoravamo da je u toku phishing kampanja koja je direktno usmerena na Srbiju! Poruka je na srpskom, pošiljalac emaila je navodno PRIVREDNA KOMORA SRBIJE

Prvi phishing na srpskom!

Pažnja! Lažni email od Privredne komore Srbije!

Upozoravamo da je u toku phishing kampanja koja je direktno usmerena na Srbiju! Poruka je na srpskom i u naslovu poruke piše "Izmena zakona".

Pošiljalac emaila je navodno PRIVREDNA KOMORA SRBIJE ali je domen sa kog se šalju poruke pksrs.com info@pksrs.com, registrovan na ENOM INC, Panama.

Pravi domen Privredne komore Srbije je pks.rs!

U tekstu poruke govori se o izmenama Zakona o porezu na dohodak građana i poziva da preuzmete pdf file sa detaljnim uputsvima.

Link u poruci je zapravo .exe fajl koji u sebi sadrži Remote Admin alat!

Kada se ovaj alat pokrene, ostavlja se mogućnost da neko neovlašćeno, spolja pristupi računaru na kome je alat pokrenut. Kada se pokrene, virus/trojanac otvara PDF dokument sa Zakonom o porezu na dohodak građana, a istovremeno se remote admin alat instalira i dodaju u startup Windows-a i pokušava da komunicira sa sledećim domenima/IP adresama:

  • rutils.com 104.236.34.44
  • server.rutils.com 70.38.38.43

Virus takođe preuzima i Windows ProductID, verovatno da bi proverio da li se izvršava u sendbox-u.

rutils.com je servis za Remote Admin Utility, koji omogućava da se računaru pristupi spolja .

Mada se sama aplikacija za Remote Admin može upotrebiti i kao alat za administraciju u ovom slučaju se koristi za neovlašćeni pristup računaru bez znanja korisnika!!!

File details
File Name ZPDGA.exe
File Size 4362144 bytes
MD5 eaf87c7f8adf7bdcd2878ccb350676f9
SHA1 beef0ee9397b01855c6daa2bff8002db4899b121
SHA256 c0d9e5238842dd573f6f7042b08ed7e11cfc6fa0daef30a68c837e89816c3eea

Symantec Rapid Release sekvence počev od broja 177316 detektuju ovu pretnju.