Pažnja! Lažni email od Privredne komore Srbije!

Upozoravamo da je u toku phishing kampanja koja je direktno usmerena na Srbiju! Poruka je na srpskom i u naslovu poruke piše "Izmena zakona".

Pošiljalac emaila je navodno PRIVREDNA KOMORA SRBIJE ali je domen sa kog se šalju poruke pksrs.com info@pksrs.com, registrovan na ENOM INC, Panama.

Pravi domen Privredne komore Srbije je pks.rs!

U tekstu poruke govori se o izmenama Zakona o porezu na dohodak građana i poziva da preuzmete pdf file sa detaljnim uputsvima.

Link u poruci je zapravo .exe fajl koji u sebi sadrži Remote Admin alat!

Kada se ovaj alat pokrene, ostavlja se mogućnost da neko neovlašćeno, spolja pristupi računaru na kome je alat pokrenut. Kada se pokrene, virus/trojanac otvara PDF dokument sa Zakonom o porezu na dohodak građana, a istovremeno se remote admin alat instalira i dodaju u startup Windows-a i pokušava da komunicira sa sledećim domenima/IP adresama:

• rutils.com 104.236.34.44
• server.rutils.com 70.38.38.43

Virus takođe preuzima i Windows ProductID, verovatno da bi proverio da li se izvršava u sendbox-u.

rutils.com je servis za Remote Admin Utility, koji omogućava da se računaru pristupi spolja .

Mada se sama aplikacija za Remote Admin može upotrebiti i kao alat za administraciju u ovom slučaju se koristi za neovlašćeni pristup računaru bez znanja korisnika!!!

Symantec Rapid Release sekvence počev od broja 177316 detektuju ovu pretnju.