Prvi phishing na srpskom!

Pažnja! Lažni email od Privredne komore Srbije!

Upozoravamo da je u toku phishing kampanja koja je direktno usmerena na Srbiju! Poruka je na srpskom i u naslovu poruke piše "Izmena zakona".

Pošiljalac emaila je navodno PRIVREDNA KOMORA SRBIJE ali je domen sa kog se šalju poruke pksrs.com info@pksrs.com, registrovan na ENOM INC, Panama.

Pravi domen Privredne komore Srbije je pks.rs!

U tekstu poruke govori se o izmenama Zakona o porezu na dohodak građana i poziva da preuzmete pdf file sa detaljnim uputsvima.

Link u poruci je zapravo .exe fajl koji u sebi sadrži Remote Admin alat!

Kada se ovaj alat pokrene, ostavlja se mogućnost da neko neovlašćeno, spolja pristupi računaru na kome je alat pokrenut. Kada se pokrene, virus/trojanac otvara PDF dokument sa Zakonom o porezu na dohodak građana, a istovremeno se remote admin alat instalira i dodaju u startup Windows-a i pokušava da komunicira sa sledećim domenima/IP adresama:

  • rutils.com 104.236.34.44
  • server.rutils.com 70.38.38.43

Virus takođe preuzima i Windows ProductID, verovatno da bi proverio da li se izvršava u sendbox-u.

rutils.com je servis za Remote Admin Utility, koji omogućava da se računaru pristupi spolja .

Mada se sama aplikacija za Remote Admin može upotrebiti i kao alat za administraciju u ovom slučaju se koristi za neovlašćeni pristup računaru bez znanja korisnika!!!

File details
File Name ZPDGA.exe
File Size 4362144 bytes
MD5 eaf87c7f8adf7bdcd2878ccb350676f9
SHA1 beef0ee9397b01855c6daa2bff8002db4899b121
SHA256 c0d9e5238842dd573f6f7042b08ed7e11cfc6fa0daef30a68c837e89816c3eea

Symantec Rapid Release sekvence počev od broja 177316 detektuju ovu pretnju.