Í seinustu viku fékk CERT-IS afrit af þremur tölvupóstum sem voru sendir í nafni tveggja innlendra aðila. Tölvupóstarnir voru í öllum tilvikum sendir frá ótengdu netfangi en látið líta út fyrir að koma frá þeim aðila sem efni póstsins snerist um.
Linkar í póstinum vísuðu á rétta tengla hjá viðkomandi fyrirtækjum og því ekki um netveiðar að ræða, efni póstsins miðar hins vegar að því að fá viðtakendur til að smella á viðhengi sem fylgir póstinum.
Ef viðhengið er opnað þá gerir forritið tilraun til að koma fyrir LokiBot útgáfu sem safnar lykilorðum á tölvunni.
Þær útgáfur sem CERT-IS hefur fengið eru allar með .pdf.zip viðhengi sem inniheldur síðan .pdf.exe skrá.
Skilaboðin hafa yfir sér svipað útlit og netveiðar sem hafa gengið yfir í bylgjum á Íslandi undanfarin misseri, sjá frekar [1].
Tvö eintök af njósnaforritinu sem CERT-IS hefur fengið tala við eftirfarandi slóða:
hxxp://kbfvzoboss[.]bid/alien/fre.php, hxxp://alphastand[.]trade/alien/fre.php, hxxp://alphastand[.]win/alien/fre.php, hxxp://alphastand[.]top/alien/fre.php
og öll þrjú eintökin tala við ip töluna:
185.227.139[.]18
á slóð álíka
hxxp://185.227.139[.]18/dsaicosaicasdi.php/S7zr5v1fXI3Rb
MD5: e60c1bc83635a8480e1970205944b7a8 SHA1: 583890ea81b7180acc4caf95de8b71371e04885d SHA256: 917af44057dfe75238e0c9ad9c131610f29c0ac1641c631c5b01bb6ae5dfe46e
MD5: 73a26b576e2649095e04b8acc97de624 SHA1: b892dfa7b5b9414af27ee3feba1d9f00aad2242e SHA256: 3b0ebf27001aab172cd56df5737a411d8ea9a4f3a73af072ed0c8d2593b7a7fa
Sjá vísa á [2] og [3].
Frekari umfjöllun [4] og [5] hjá Threatfox
Vísar:
[1] https://cert.is/um-vefinn/frettir/frett/2021/04/29/Aukning-vefveida-gagnvart-postthjonustum/
[2] https://otx.alienvault.com/indicator/file/e60c1bc83635a8480e1970205944b7a8
[3] https://otx.alienvault.com/pulse/60e93e6152eaab2915e75cb4
[4] https://threatfox.abuse.ch/browse/tag/LokiBot/
[5] https://threatfox.abuse.ch/browse/malware/win.lokipws/
