Rendkívüli tájékoztató COVID-igazolványra hivatkozó, káros csatolmányú levelek kapcsán

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézet (NBSZ NKI) rendkívüli tájékoztatót ad ki a COVID-igazolványra hivatkozó, káros csatolmányt tartalmazó, kéretlen elektronikus levelekkel kapcsolatban.

Intézetünkhöz több bejelentés érkezett olyan trójai vírust terjesztő e-mailek vonatkozásában, amelyek az Európai Unió által kiadott digitális Covid- bizonyítványra hivatkozva kísérlik meg a felhasználók megtévesztését. (lásd: 1. ábra).

Figyelem! A levél melléklete vírusos állományt tartalmaz, semmiképp se nyissa meg azt!
1. Ábra: Példa a káros hivatkozást tartalmazó levélre

A levélben a csatolmány megnyitását követően, az áldozat eszközére egy tömörített fájl töltődik le, amelyben a Lokibot nevű trójai típusú vírus egyik variánsa található. Az ilyen típusú kártevők elsődlegesen információgyűjtő kémprogramok, amelyek – többek között – a billentyűleütések figyelésére is képesek.

Az eddig beérkezett esetek alapján a levelek látszólagos feladója a covid.bizonyitvany@ugyfelkapu.gov.hu e-mail cím, a levél tárgya pedig „Covid vakcina digitális tanúsítvány”.

 

 

Az NBSZ NKI javaslatai az ilyen és ehhez hasonló káros csatolmányú e-mailek kezelésével kapcsolatban:

  • Soha ne kattintson az e-mailben érkező hivatkozásokra, amelyek ismeretlen állományok letöltését vagy bejelentkezési, személyes, egyéb adatok megadását kérik!
  • Minden esetben külön keressen rá az érintett cég, vagy szervezet hivatalos weboldalára, és ott bejelentkezve ellenőrizze a kapott üzenet valódiságát!
  • Az üzenet valóságtartalmáról az érintett cég, vagy szervezet hivatalos tájékoztató felületein elérhető kapcsolati adatokon keresztül is meggyőződhet.
  • Előfordulhat, hogy az adathalász üzenetek csatolmányt is tartalmaznak (pl. egy Microsoft Word dokumentum, egy tömörített, .iso vagy .pdf kiterjesztésű fájlt). Ezeket ne nyissa meg, és ne töltse le!
  • Amennyiben adathalászatra utaló eseményt tapasztal vagy azzal összefüggésben csalás áldozatává vált, haladéktalanul tegyen bejelentést a csirt@nki.gov.hu e-mail címen, vagy az nki.gov.hu weboldalon keresztül.
  • Tekintse meg az NBSZ NKI “E-mailed jött? Gondolkodj, mielőtt kattintasz!” című tudatosító infografikáját az adathalászat felismeréséről.

 

IoC:

  • Covid oltási bizonyítvány·PDF.zip
    • md5: 1632e24ac480bcfc9a97425f7a34ed83
    • sha256: 547f10cb9baa18d68fdbc548c2ed137f5337cda481935853e90a2da750a67d86
  • Covid oltasi bizonyitvany exe
    • sha256: 257513a74ef01224b6b44fd5ee3067d27c3177c8363f8b49f0e4353b12452ced
  • C2 szerver
    • 227.139[.]5
  • HTTP/HTTPS kérés
    • hxxp[://]185[.]227[.]139[.]5/sxisodifntose[.]php/S7zr5v1fXI3Rb

 

További hivatkozások:

 

A tájékoztató szövege letölthető pdf formátumban.


Legfrissebb sérülékenységek
CVE-2024-10924 – Really Simple Security WordPress plugin authentication bypass sérülékenysége
CVE-2024-1212 – LoadMaster szoftver RCE (remote-code-execution) sérülékenysége
CVE-2024-38813 – VMware vCenter Server privilege escalation sérülékenysége
CVE-2024-38812 – VMware vCenter Server heap-based overflow sérülékenysége
CVE-2024-0012 – Palo Alto Networks PAN-OS software sérülékenysége
CVE-2024-9474 – Palo Alto Networks PAN-OS Management Interface sérülékenysége
CVE-2024-43093 – Android Framework Privilege Escalation sebezhetősége
CVE-2021-26086 – Atlassian Jira Server and Data Center Path Traversal sebezhetősége
CVE-2014-2120 – Cisco Adaptive Security Appliance (ASA) Cross-Site Scripting (XSS) sebezhetősége
CVE-2024-50330 – Ivanti Endpoint Manager SQL injection sérülékenysége
Tovább a sérülékenységekhez »