Zavod za sigurnost informacijskih sustava (ZSIS) je u nekoliko državnih tijela pod svojom nadležnošću uočio najnoviju phishing kampanju koja se najvjerojatnije širi putem elektroničke pošte.

U tijelu poruke elektroničke pošte nalazi se poveznica na zlonamjernu stranicu hxxps://postahr.vip/.

Protokol https je promijenjen kako bi se izbjeglo nenamjerno posjećivanje, a stranica se nalazi na IP adresi 93.170.105.32 na dediciranom poslužitelju u Nizozemskoj. Na navedenoj stranici nalazi se sadržaj preuzet sa službenih stranica Hrvatske pošte, a odmah po posjećivanju stranice korisniku se nudi preuzimanje datoteke obavijest_o_posiljki.xls.

Do sada su poznate dvije inačice navedene datoteke. Prva inačica predstavlja SILENTTRINITY zlonamjerni program koji se izvršava u memoriji računala i komunicira sa zlonamjernim poslužiteljem na adresi

hxxps://176.105.255.59:8089.

Zlonamjerni program dohvaća se putem SMB protokola.

Druga inačica predstavlja Powershell Empire zlonamjerni program koji se preuzima s adrese

hxxps://posteitaliane.live/owa/mail/drafts.srf.

Hrvatska pošta već je pokrenula korake za uklanjanje zlonamjernih internetskih stranica i poslužitelja, no trenutačno su obje inačice aktivne.

Zlonamjernim programom napadači mogu preuzeti kontrolu nad računalom i izvoditi proizvoljne naredbe pod ovlastima korisnika koji je otvorio XLS datoteku i omogućio izvršavanje makro naredbi.

Više detalja možete pronaći ovdje:

https://www.zsis.hr/default.aspx?id=415