Upozorenje - Phishing u Srbiji, na meti klijenti Banca Intesa i Erste banke!

Upravo se pojavila phishing kampanja koja targetira korisnike iz Srbije! Radi se o veoma uverljivim napadima, u kojima stižu poruke navodno od Intesa ili Erste banke, a u sebi sadrže maliciozni atačment, odnosno malver. Email poruke na prvi pogled izgledaju kao da stižu sa legitimnih domena.

Poruka koju navodno šalje Banca Intesa izgleda ovako:

Maliciozna poruka, Banca Intesa

Slika 1. Phishing poruka - Banca Intesa.

Na Virus Total sajtu 15 AV rešenja ga prepoznaje kao virus, što se vidi na ovom linku i na slici ispod.

Virus Total 1

Slika 2. Virus Total, Intesa phishing. Izvor slike: Virus Total

Email koji navodno stiže od Erste banke izgleda ovako:

Phishing poruka - Erste banka

Slika 3. Phishing poruka - Erste banka.

Erste phishing na Virus Totalu kao maliciozan prepoznaje 11 AV rešenja, što možete videti na slici dole:

Virus Total, Erste phishing

Slika 4. Virus Total, Erste phishing. Izvor slike: Virus Total.

Joe Sandbox pretnju prepoznaje kao Lokibot Infostealer.

Behaviour Graph

Slika 5. Behaviour Graph. Izvor slike: Joe Sandbox.

Treba dodati da i jedan i drugi malver komuniciraju sa istom C&C adresom:

http[:]//107.175.150.73/~giftioz/.vokol/fre.php

Ova URL adresa je kategorisana od strane Palo Alto firewall-a kao Command and Control i blokirana je. Intesa malver je od strane vendora Symantec prepoznat kao Backdoor.Ratenjay, a Erste malver prepoznat kao Heur.AdvML.B!200.

Hash

Hash za Banca Intesa - 5b0fba8021987e7da274b48189791da7b86f8a07aa7d0fcf7698420cf9f6ad77

Hash za Erste banku - 66b8f8503abbf511784d87c4801cb1d73a67f7ca09b0fbf17519df3632a4edff

Kad se raspakuje:

Hash za Banca Intesa - db0a39f7b4e640ef626035de8b19df6691ffb7e7b2b910c8906e39c88b088e90

Hash za Erste banku - 5e5a07ef3328ab3fa02e1c878000c7e47e10705606d983ee38e0abe9613d05a8