Danas je na našu adresu stigao mail sa naslovom RV: Kopija plaćanja čiji je navodni pošiljalac korisnička podrška Raiffeisen banke. Poruka je na srpskom jeziku i sadrži (nepostojeću) kopiju SWIFT transakcije. Radi se o malicioznoj (phishing) poruci u kojoj napadači zloupotrebljavaju brend poznate banke ne bi li prevarili korisnike da kliknu na atačment i instaliraju trojanac.

Infostealer.Lokibot je trojanac koji krade informacije sa kompromitovanog računara. Više informacija o ovom malveru možete pronaći ovde.

Prava adresa pošiljaoca je Detlef.Schlueter@t-online.de. Poruka je takođe poslata i na adresu export@ledo.hr. Kako izgleda ova email poruka možete videti na slici ispod:

Slika 1. Phishing email poruka koju smo danas dobili.

Dakle, u atačmentu poruke je pdf fajl u kome se nalazi link koji vodi na Dropbox, na kome se nalazi zipovan fajl sa imenom dvswiftsend_190321170411_933104131581.zip. Kada se raspakuje ovaj zip, u njemu se nalazi istoimeni exe fajl koji Symantec detektuje kao Infostealer.Lokibot.

Slika 2. Pdf fajl iz atačmenta.

Slika 3. Exe fajl prepoznat kao Infostealer.Lokibot od strane Symanteca.

Hash fajla je: 4F3DB764A201BF0E5AB9BBF0A43098D7C8D3E309A955A1E1B525E248F0C01913