Upozorenje - nova phishing prevara kruži Srbijom!

Budite na oprezu, maliciozne poruke su na srpskom jeziku!

Upozorenje - nova phishing prevara kruži Srbijom!

Danas je na našu adresu stigao mail sa naslovom RV: Kopija plaćanja čiji je navodni pošiljalac korisnička podrška Raiffeisen banke. Poruka je na srpskom jeziku i sadrži (nepostojeću) kopiju SWIFT transakcije. Radi se o malicioznoj (phishing) poruci u kojoj napadači zloupotrebljavaju brend poznate banke ne bi li prevarili korisnike da kliknu na atačment i instaliraju trojanac.

Infostealer.Lokibot je trojanac koji krade informacije sa kompromitovanog računara. Više informacija o ovom malveru možete pronaći ovde.

Prava adresa pošiljaoca je Detlef.Schlueter@t-online.de. Poruka je takođe poslata i na adresu export@ledo.hr. Kako izgleda ova email poruka možete videti na slici ispod:

Phishing email poruka koju smo danas dobili

Slika 1. Phishing email poruka koju smo danas dobili.

Dakle, u atačmentu poruke je pdf fajl u kome se nalazi link koji vodi na Dropbox, na kome se nalazi zipovan fajl sa imenom dvswiftsend_190321170411_933104131581.zip. Kada se raspakuje ovaj zip, u njemu se nalazi istoimeni exe fajl koji Symantec detektuje kao Infostealer.Lokibot.

Pdf fajl iz atačmenta

Slika 2. Pdf fajl iz atačmenta.

Exe fajl prepoznat kao Infostealer.Lokibot od strane Symanteca.

Slika 3. Exe fajl prepoznat kao Infostealer.Lokibot od strane Symanteca.

Hash fajla je: 4F3DB764A201BF0E5AB9BBF0A43098D7C8D3E309A955A1E1B525E248F0C01913