Prvi phishing na srpskom!
Upozoravamo da je u toku phishing kampanja koja je direktno usmerena na Srbiju! Poruka je na srpskom, pošiljalac emaila je navodno PRIVREDNA KOMORA SRBIJE
Pažnja! Lažni email od Privredne komore Srbije!
Upozoravamo da je u toku phishing kampanja koja je direktno usmerena na Srbiju! Poruka je na srpskom i u naslovu poruke piše "Izmena zakona".
Pošiljalac emaila je navodno PRIVREDNA KOMORA SRBIJE ali je domen sa kog se šalju poruke pksrs.com info@pksrs.com, registrovan na ENOM INC, Panama.
Pravi domen Privredne komore Srbije je pks.rs!
U tekstu poruke govori se o izmenama Zakona o porezu na dohodak građana i poziva da preuzmete pdf file sa detaljnim uputsvima.
Link u poruci je zapravo .exe fajl koji u sebi sadrži Remote Admin alat!
Kada se ovaj alat pokrene, ostavlja se mogućnost da neko neovlašćeno, spolja pristupi računaru na kome je alat pokrenut. Kada se pokrene, virus/trojanac otvara PDF dokument sa Zakonom o porezu na dohodak građana, a istovremeno se remote admin alat instalira i dodaju u startup Windows-a i pokušava da komunicira sa sledećim domenima/IP adresama:
- rutils.com 104.236.34.44
- server.rutils.com 70.38.38.43
Virus takođe preuzima i Windows ProductID, verovatno da bi proverio da li se izvršava u sendbox-u.
rutils.com je servis za Remote Admin Utility, koji omogućava da se računaru pristupi spolja .
Mada se sama aplikacija za Remote Admin može upotrebiti i kao alat za administraciju u ovom slučaju se koristi za neovlašćeni pristup računaru bez znanja korisnika!!!
File details |
---|
File Name ZPDGA.exe |
File Size 4362144 bytes |
MD5 eaf87c7f8adf7bdcd2878ccb350676f9 |
SHA1 beef0ee9397b01855c6daa2bff8002db4899b121 |
SHA256 c0d9e5238842dd573f6f7042b08ed7e11cfc6fa0daef30a68c837e89816c3eea |
Symantec Rapid Release sekvence počev od broja 177316 detektuju ovu pretnju.