Radi se o e-mail poruci u kojoj se pošiljatelj predstavlja u ime Porezne uprave s lažnom e-mail adresom i lažnom domenom u e-mail adresi 'pdv@porezna-uprava.net'. Naslov e-maila je 'Novi Zakon za 2018.', a u tekstu poruke nalazi se phishing URL. Kada korisnik na njega klikne, preuzima zlonamjernu datoteku.
Nacionalni CERT javlja da su phishing URL kao i pripadajuća domena blokirani te više nisu aktivni, no korisnike ipak pozivaju na oprez jer postoji mogućnost da je napadač ponovno aktivira na nekom drugom web poslužitelju.
'U slučaju pokretanja preuzete maliciozne datoteke, ista komunicira s upravljačkim poslužiteljem (C&C) na IP adresi 81.4.125.50 na sljedećim domenama:
* consaltingsolutionshere.com
* kimdotcomfriends.com
* bestfriendsroot.com
Nacionalni CERT korisnicima savjetuje blokadu mrežnog prometa prema gore navedenim domenama te istodobno provjeru ima li pokazatelja o zabilježenim konekcijama prema zlonamjernim domenama. Također jedan od indikatora provjere kompromitacije računala je i utvrđivanje postojanja aktivnih procesa na sustavu naziva weather.exe i serk.exe.', stoji u priopćenju.
Ovako izgleda ta poruka:
