NorCERT melder at flere har mottatt phishing e-post som leder til nedlasting av en trojaner.E-postens emne og innhold er «Du har mottatt en pakke, klikke her for å spore den». E-posten er oversatt til dårlig norsk, noe som er et kjennetegn på at man bør bli mistenksom. Trojaneren er økonomisk motivert, og kan brukes til flere formål, f eks til å logge tastetrykk. Trojaneren er kjent som «1158-trojaneren»
NorSIS anbefaler
- Vær oppmerksom på mistenkelige e-post, og slett e-posten om den er mistenkelig
- Lær opp de ansatte i virksomheten i hva som er mistenkelige e-post og hva de skal gjøre om de ser noe som er mistenkelig
Ansvarlige for informasjonsikkerhet bør:
- Undersøke om det er noen som har mottatt mistenkelig e-post
- Sjekke om noen har lastet ned skadevaren (trojaneren)
- Om det er kompromitteringer i nettverket
NorCERT oppgir følgende om trojaneren:
Avsenderadresser:
– info[@]autovanharen[.]nl
– info[@]aanbiedingsfiets[.]nl
Avsender-IP:
– 37.187.48[.]49
URL til nedlasting:
– hxxp://www[.]goodystavern[.]com/PostenTracking.exe
– hxxp://adrian-music[.]com/img/common/PostenTrace.exe
C2-server:
– 37.187.48[.]49:1158 (også observert port 1157)
– Andre C2-adresser kan forekomme. TCP-trafikk til port 1157/1158 bør anses som mistenkelig.
ET/ETPRO-deteksjon:
– ET TROJAN Spy-Net Trojan Connection (2008644)
– ETPRO TROJAN Trojan.Win32.Swisyn.aqjp Keep Alive (2804696)