Na SI-CERT so v mnulih dneh prejeli prijavo elektronskega sporočila, ki v .doc priponki vsebuje trojanskega konja vrste “information stealer”. Sporočilo vsebuje .doc priponko, ki izkorišča eno od ranljivosti v MS Office paketu. Ranljivost omogoča zagon poljubne kode preko RTF dokumentov (CVE-2017-11882, CVE-2018-0802).
Ukrepanje po okužbi
V primeru okužbe z omenjenim trojanskim konjem, je potrebno sistem nemudoma izklopiti iz omrežja, ter ponovno namestiti operacijski sistem. Potrebna je menjava vseh gesel, kot tudi preklic certifikatov katerih privatni ključi so bili v času okužbe dosegljivi.
“Analiza zlonamerne kode je pokazala, da trojanec omogoča shranjevanje posnetkov zaslona, beleženje vnosov preko tipkovnice, po predhodnem pregledu vseh nameščenih programov pa poskuša morebitna shranjena gesla pridobiti iz nameščenih spletnih brskalnikov, odjemalcev e-pošte, FTP odjemalcev, programov za hipno sporočanje, ipd,” navajajo na SI-CERT-u.
