Upozorenje: Klijenti banaka u Srbiji i dalje na meti phishinga!

Ponovo je aktuelna slična prevara kao u decembru!

Upozorenje: Klijenti banaka u Srbiji i dalje na meti phishinga!

Korisnici banaka u Srbiji, pre svega klijenti Banca Intesa i AIK banke, (još jednom) su se našli na meti phishera.

Banca Intesa phishing

Poruke sa malicioznim prilogom navodno stižu sa Banca Intesa domena. Prilog ima naziv „Obavestenje o prilivu za 005080·002032·005·pdf.zip“, a poruka ima subject: „Obaveštenje_o_deviznom_prilivu:__EUR_3721.33.“ Poruke se šalju sa servera 185.58.73.19 (nikal.avalon.hr).

Intesa phishing

Slika 1. Banca Intesa phishing email poruka.

Na Virus Total sajtu nekoliko AV rešenja ga prepoznaje kao virus, što se može videti na ovom linku i na slici ispod.

Slika 2. Virus Total, Intesa phishing.

AIK banka phishing

AIK banka phishing poruke stižu sa istog domena kao i Banca Intesa poruke (nikal.avalon.hr), ali i sa server10.konekthosting.info (62.240.6.5). Sender: aik_banka_devizni_sektor@aikbanka.rs

Budite oprezni i nikako ne otvarajte ove poruke!

O sličnoj prevari pisali smo krajem prošle godine, više informacija imate na ovom linku.

Preporuke

Nakon analize, otkrili smo da je u pitanju LokiBot, isti malver kao i kod prethodne slične kampanje. Preporučujemo blokiranje IP adrese 198[.]23[.]200[.]239, koja je trenutno C&C.

Zajedno podižemo svest o sajber bezbednosti

Ako ste u poslednje vreme primili email koji vam je sumnjiv, prosledite nam ga na analiza@it-klinika.rs, da bismo i druge upozorili.

Update 1 - Sberbank phishing - 28.05.2020.

Posle lažnih izvoda Banca Intesa i AIK banke, primećena je i kampanja koja cilja Sberbank korisnike. U pitanju je phishing poruka sa (lažnim) mesečnim izvodom sa kreditne kartice u prilogu. Poruka navodno stiže sa adrese izvodi@mail.sberbank.rs, dok je prava adresa zillennium[.]com.

Sberbank phishing

Slika 3. Sberbank phishing poruka.

Update 2 - Erste banka phishing - 15.06.2020.

Nastavljaju se napadi na korisnike iz Srbije. Najnovije phishing poruke koje kruže u naslovu imaju Subject "Obaveštenje o deviznom prilivu 163977". Napadači žele da pomislite da poruke stižu sa adrese devizniprilivi@erstebank.rs.

Erste phishing

Slika 4. Erste banka phishing poruka.

Erste banka je objavila preporuke kako da prepoznate ove i slične prevare, a možete ih pronaći na ovom linku.

Update 3 - UniCredit banka phishing - 22.06.2020.

Phishing kampanja u kojoj se ciljaju korisnici banaka u Srbiji i dalje traje. Sada su na meti korisnici UniCredit banke, a poruke koje napadači šalju imaju Subject "Obavestenje u prilivu iz inostranstva". Poruke sadrže obaveštenje na srpskom i engleskom jeziku, kao što možete videti na slici ispod:

UniCredit phishing

Slika 5. UniCredit phishing poruka.

Još jednom upozoravamo sve koji dobiju ovakve ili slične email poruke da budu obazrivi i ne otvaraju priloge.

Update 4 - OTP banka phishing - 02.07.2020.

Najnovija banka koju napadači zloupotrebljavaju u ovoj kampanji je OTP banka. Na slikama ispod možete videti izgled OTP phishing poruke i analizu sa VirusTotal sajta.

OTP phishing

Slika 6. OTP banka phishing poruka.

VT analiza

Slika 7. Virus Total analiza, OTP banka phishing.

Update 5 - API banka phishing - 03.07.2021.

Napadači se ne zaustavljaju! Sada je na redu zloupotreba API banke. Phishing poruke navodno stižu od osobe zaposlene u banci, a stvarna adresa pošiljaoca je stella.raybear.com (213.239.211.25). Subject imejla je "Obaveštenje o prilivu iz inostranstva", dok je u prilogu zip fajl koji sadrži malver. Na slikama ispod možete videti kako izgleda API bank phishing poruka:

API 1

Slika 8. API bank phishing poruka.

API phishing 2

Slika 9. API bank phishing poruka.

Upozoravamo klijente API banke, ali i sve druge koji prime sličnu poruku: Budite veoma oprezni i nikako ne otvarajte priloge!