Nakon lažnih ponuda uoči 'Crnog petka' sada je iz CARNetovog Nacionalnog CERT-a stiglo upozorenje na phishing kampanju s porukama koje dolaze iz navodne Porezne uprave s ciljem kompromitacije računala i krađe povjerljivih podataka.

Pošiljatelji se predstavljaju kao Porezna uprava s lažnom email adresom i lažnom domenom 'pdv@porezna-uprava.net', dok je u naslovu poruke stajalo 'Novi Zakon za 2018'. U tekstu poruke krio se i phishing URL koji je korisniku nudio preuzimanje zlonamjerne datoteke, a nalazio se na istoj lažnoj domeni porezna-uprava.net.

Iz CERT-a navode da su phishing URL i ta domena su blokirani, tj.  nisu aktivni, ali pozivaju na oprez jer nije isključena mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju. 

U priopćenju se navodi da u slučaju pokretanja preuzete maliciozne datoteke, ista komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:

* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com

Zbog toga savjetuju korisnicima da se blokira promet prema navedenim domenama te da istovremeno obave provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama. Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.