Nov napad z lažnimi sporočili v imenu FURS

30. 06. 2017

Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT opozarja uporabnike o ponovnem napadu z virusi preko elektronske pošte, pri katerem se napadalci predstavljajo kot Finančna uprava Republike Slovenije.

Objavljeno: SI-CERT, 20. 6. 2017, www.cert.si

Nacionalni odzivni center za obravnavo incidentov s področja varnosti elektronskih omrežij in informacij SI-CERT opozarja uporabnike o ponovnem napadu z virusi preko elektronske pošte, pri katerem se napadalci predstavljajo kot Finančna uprava Republike Slovenije.

Elektronski naslov pošiljatelja v sporočilih je ponarejen. Gre za ponavljajoč napad, ki se pojavi vsakih nekaj mesecev. V identični obliki so ga prvič zaznali januarja letos.

Po odprtju datoteke Furs.xls v Excelu se prikaže obvestilo, da je za ogled dokumenta potrebno aktivirati makro. Makri v Office dokumentih vsebujejo izvršljivo kodo, in so privzeto onemogočeni.

Če uporabnik omogoči vsebino (klikne na gumb “Enable content” oz. “Omogoči vsebino”), se zažene koda v makru, ki preko zunanjega ukaza v powershellu na sistem iz nekega spletnega strežnika prenese dodatno kodo, jo odšifrira z vgrajenim XOR ključem in zažene.

Uporabnikom, ki prejmejo tako sporočilo, svetujejo da ne odpirajo priloge. Sporočilo lahko posredujejo v analizo na e-naslov: cert@cert.si (če je možno v izvirniku), nato pa ga izbrišejo. Administratorji poštnih strežnikov se lahko obrnejo na SI-CERT za pomoč glede zaznave in blokade takih sporočil.