ZSIS: U tijeku Agent Tesla phishing kampanja

ZSIS: U tijeku Agent Tesla phishing kampanja

Zavod za sigurnost informacijskih sustava upozorio je kako se u zadnjih nekoliko tjedana povećao broj zlonamjernih emailova usmjerenih prema tijelima u nadležnosti ZSIS-a.

Zlonamjerni mailovi sadrže zlonamjerni attachment ili zlonamjernim linkom, pri čemu su ovi s attachmentima znatno opasniji.

Oni sadrže attachment u kojem se nalazi datoteka s verzijom zlonamjernog programa Agent Tesla. To je jedan od trenutno najpopularnijih zlonamjernih programa kojeg napadači koriste s ciljem prikupljanja lozinki, PIN-ova za pametne kartice i drugih pristupnih podataka s kompromitiranog računala.

Osim prikupljanja pristupnih podataka, zlonamjerni program ima mogućnost prikupljanja unosa s tipkovnice i snimanja prikaza na ekranu, odnosno keylogger i screen capture mogućnosti.

Prikupljeni podaci napadačima se šalju putem elektroničke pošte SMTP protokolom, na FTP poslužitelj ili na web poslužitelj HTTP protokolom pod kontrolom napadača.
 
Mailovi kojima se ovaj zlonamjerni program širi mogu biti različite tematike – najčešće se u tijelu poruke nalazi upit ili odgovor na navodnu narudžbu, informacije o isporuci paketa, potvrda plaćanja i slično, a u posljednje vrijeme su uočene i poruke tematikom vezane uz pandemiju novog koronavirusa.

Privitak najčešće koristi sljedeće ekstenzije img, iso, arj, ace, z, xz, rar, 7z, gz ili zip. Pošiljatelji poruke najčešće nisu lažirani, već je riječ o kompromitiranim korisničkim računima ili o generičkim adresama elektroničke pošte na servisima poput Gmaila i Yahooa. Pošiljatelji i organizacije najčešće nemaju nikakve poveznice s primateljem i organizacijom primatelja.

Poruka može, ali i ne mora biti lokalizirana – najčešće se koristi engleski jezik, iako neke poruke mogu biti prevedene na hrvatski korištenjem javno dostupnih servisa.

U drugoj kampanji, korisniku se šalje poruka s lažiranim pošiljateljem, odnosno s mailovima oblika support@organizacija.hr, administrator@organizacija.hr ili primatelj@organizacija.hr, pri čemu izraz organizacija bude zamijenjen imenom tvrtke primatelja, kako bi ga se uvjerilo da je poruka poslana od strane njegovog vlastitog poslodavca.

Porukom se primatelja obavještava da je njegov poštanski sandučić popunjen, da adresu elektroničke pošte mora validirati ili da postoji određeni broj poruka elektroničke pošte koje su trenutno u stanju čekanja jer nisu isporučene ili zaprimljene.

U tijelu poruke nalazi se poveznica na lažnu web stranicu za prijavu na sustav elektroničke pošte, a popunjavanjem obrasca za prijavu, napadaču se šalju pristupni podaci.

ZSIS osobe nadležne za računalnu sigunost u tvrtkama upozorava da upozore svoje korisnike na navedeni rizik, podijele upute za prepoznavanje i postupanje s phishing porukama te - ako nisu bitne za poslovanje, blokiraju uspostavu izravnih TCP mrežnih veza s korisničkih računala prema računalima na Internetu na mrežnim portovima 21 (FTP), 25, 465, 587 i 2525 (SMTP) ili stave upozorenja kada je s korisničkog računala uspostavljena mrežna veza prema gore navedenim mrežnim portovima.

PROMO: Rep.hr do 2021. godine želi postati portal s najviše IT oglasa za posao. Pogledajte koja se zanimanja trenutno traže.
- - - IZDVOJITE MINUTU I PODRŽITE REP.HR - - -

Ako redovito posjećujete rep.hr, vjerojatno ste svjesni da objavljujemo niz članaka koji sadrže zanimljive i društveno korisne informacije. Nastojimo ukazati na nepravilnosti i prevare, promovirati uspjehe informatičara na natjecanjima, predstaviti nove projekte i inicijative i pružiti niz drugih informacija. Iako portal ima određene marketinško-prodajne aktivnosti, proizvodnja takvog sadržaja košta i - kao i drugim medijima - dodatni izvor prihoda pomogao bi u daljnjem rastu i razvoju. Brojni portali uveli su proteklih mjeseci zaključavanje članaka i pretplatu, a mi smo se odlučili za opciju dobrovoljnih priloga za koje se izdaju računi.

Podržati nas možete već s pet kuna, na što trebate potrošiti manje od minute. Dovoljno je izabrati sličicu s jednim od ponuđenih iznosa, a nakon toga u novom prozoru izabrati način plaćanja. Radi jednostavnosti i brzine plaćanja, podržane su mobilne aplikacije KEKS Pay, Aircash i Settle te kriptovalute. Uplata se realizira putem partnerske tvrtke Neoinfo i sustava mobilepaymentsgateway.com Sustav za plaćanja je trenutnu u testnoj fazi te se ispričavamo ako u početku bude nekih nesavršenosti. Ako uočite nekakav nedostatak ili vas zanima više informacija o sustavu možete nas kontaktirati na info@rep.hr

Izaberite iznos podrške: