Gov.si malware infected device

Nagyon rövd cikk lesz. Már jelentettem a Szlovén GOV CERT-nek.
Hash amiből jött az investigation: a223e649a79fda3b17666352df9e01fd06acf5a0ccafab5995192376eef01fe4
Ide installálja magát: C:\Users\2pn7TAw\AppData\Roaming\l84u.exe
Ide mennek a lopott adatok: petrollimex.com/WebPanel/api.php
Hogy nézett ki amire a victimek klikkeltek:

Nem akarom részletezni a malware-t mert semmi extra nincs benne, és látszik csak egy béna emberke aki össze kattintotta az egészet.
Na de lássuk milyen adatokat sikerült ellopnia:

Webcam shot a GOV.si áldozatról:

És hogy ki csinálta?

Nem akarok kommentet tenni hogy mennyire alacsony security kerítést kellett átugrania. Mondjuk az IP-jét elrejtette mert egy TURK telekom IP-ről logolgatott be skype-ra is.
Server1: 85.97.9.9
ISP: Turk Telekom
City: Istanbul
Region: Istanbul
Country: Turkey

De a facebook nem hazudik, és hiába UK a skype címe:
https://www.facebook.com/princedaniel200/
Birth date: 1992 maj 20

Hozzászólások

bazz te gyujtod a negereket :)

--
Vortex Rikers NC114-85EKLS

Természetesen a T-online spammelős része is jelentve lett, amit a srác használt.