הודעות מייל המתחזות לרשות המיסים מופצות בימים האחרונים לאזרחי ישראל תחת הכותרת "הוצאה לפועל – מכתב תביעה". מדובר בפעם הראשונה הידועה לנו של ניצול לרעה של מערכת לשליחת מסרים בה עושים שימוש משרדים ממשלתיים וחברות מסחריות גדולות באופן סדיר כדי לתקשר עם לקוחותיהן.
המייל המדובר כולל קובץ וורד שמכיל קוד זדוני שמוריד נוזקת כופר אל המחשב, כאשר הנוזקה מצפינה את הקבצים, ודורשת תשלום כופר עבור שחזור הקבצים.
חשוב לציין שמוצרי ESET זיהו גם את קובץ הוורד הזדוני וגם את נוזקת הכופר מרגע ההפצה הראשוני, כך שמשתמשים שאצלם מותקן ומעודכן ESET היו ונשארים מוגנים מהאיום.
המייל הזדוני אשר מתחזה לרשות הגבייה
כאשר מנסים לפתוח את המייל מופיעה הודעה שמבקשת לאפשר הפעלת מאקרו על מנת לצפות בתוכן ההודעה.
קוד מאקרו הוא קוד שניתן להוסיף למסמכי וורד, אקסל ופאוורפוינט, והוא מאפשר יצירת פעולות אוטומטיות בזמן פתיחה של מסמכים.
במקרה זה לא מדובר בהודעה מובנית של אופיס, אלא צילום מסך שנועד להטעות את הקורבן הפוטנציאלי.
ההודעה המבקשת לאפשר לקובץ להפעיל את קוד המאקרו הזדוני
כאשר לוחצים על enable content, או "אפשר תוכן" בעברית, מורדת נוזקת הכופר למחשב, היא מצפינה את הקבצים, ומוצגת הודעת כופר למשתמש שדורשת תשלום באמצעות ביטקוין.
הקובץ עצמו לא מכיל כל תוכן מלבד ההודעה המצולמת.
במקביל להתפשטות המייל הזדוני, התקבלו אצלנו דיווחים על אנשים פרטיים ומשרדים של ראיית חשבון שכבר נפגעו מהכופר כאשר פתחו את הקובץ המצורף.
נוסח הודעת הכופר המופיעה במחשב שנפגע
מדובר כפי הנראה בנוזקת כופר ממשפחת הנוזקות שנקראות Buran, שפרטים טכניים נוספים אודותיה נמצאים כאן.
מספר טיפים להתגוננות מהתקפות מסוג זה:
• מומלץ שלא לאפשר לקבצים מסוג וורד או אקסל להריץ קוד מאקרו או להיכנס לקישורים נוספים על מנת לצפות בתוכן שלהם
• באופן כללי כאשר מקבלים מסרים ממשרדים ממשלתיים או חברות מסחריות, מומלץ לוודא מולן טלפונית או באתר הרשמי את
הנושא, ולא לפתוח קבצים מצורפים או להכנס ללינקים
• יש לעדכן את מערכת ההפעלה, הדפדפנים, ואת התוכנות בהם עושים שימוש באופן סדיר
• מומלץ להתקין את תוכנת ההגנה של ESET על המחשב האישי שתדע לזהות התקפות כנ"ל