Ciekawy, bo trochę nietypowy atak podszywający się pod firmę Play

dodał 4 maja 2017 o 13:55 w kategorii Złośniki  z tagami:
Ciekawy, bo trochę nietypowy atak podszywający się pod firmę Play

Do naszych Czytelników zaczęła dzisiaj docierać nowa kampania złośliwego oprogramowania. Z pozoru jest podobna do poprzednich, jednak atakujący zmienił mechanizmy dostarczenia niebezpiecznego kodu na wcześniej przez nas nieobserwowane.

Przyzwyczailiśmy się już do ataków, w których przestępcy podszywają się pod znane marki i pod dowolnym pretekstem do wiadomości dołączają plik zawierający złośliwe oprogramowanie lub link do niego prowadzący. Tym razem jednak nasz ulubiony polski przestępca, odpowiedzialny za większość kampanii tego typu w ciągu ostatniego pół roku, użył innej sztuczki by namówić użytkowników do pobrania i zainstalowania złośliwego pliku.

Niewinny PDF i zaległości w sieci Play

Wiadomość rozsyłana do Waszych skrzynek nosi temat „Play – Wezwanie do uregulowania należności” i wygląda następująco:

Zamiast zwyczajowej „faktury” mamy rzekome zaległości płatnicze. Co ciekawe, tym razem autor ataku w treści wiadomości wskazuje także numer rachunku, na który należy uregulować zaległości (dajcie znać, czy Playowi zdarza się to w emailach windykacyjnych). W wiadomości wskazany jest rachunek 18 1160 2244 8888 0100 3472 8828, którego śladów w sieci nie odnaleźliśmy.

Co ciekawe, do wiadomości dołączony jest adres, na który mają być wysyłane potwierdzenia jej przeczytania:

Oczywiście do wiadomości dodany jest załącznik – lecz nie jest to plik JavaScript ani nawet archiwum, a prawdziwy plik PDF o nazwie

Plik ten (potencjalnie całkiem niewinny) po załadowaniu wygląda następująco:

W jego treści znaleźć zaś możemy następujący fragment:

Powoduje to, że po jego załadowaniu w czytniku PDFów (przynajmniej w domyślnej konfiguracji Adobe Readera) wywołane zostaje pobieranie pliku przez przeglądarkę. Przeglądarka wysyła żądanie do strony

gdzie znajduje kod

Dzięki temu przeglądarka pobiera zawartość strony

i wyświetla na przykład takie oto okienko:

Jeśli ktoś zdecyduje się uruchomić plik JavaScript, to jego komputer zostanie zainfekowany koniem trojańskim vjw0rm.

Co ciekawe plik PDF o tej samej sumie funkcji skrótu był także dzisiaj wgrany do serwisu VirusTotal pod nazwą IP_VLAN_addresses.xlsx — skrót.lnk.pdf – może ktoś widział skojarzoną z nim wiadomość?

Charakterystyka ataku

Choć plik PDF i hosting na Dropboksie to nowiny u tego aktora, to niektóre punkty pozostają bez zmian:

  • emaile wysyłane z 149.56.201.93, tak samo jak w przypadku „faktur z Multimedia„,
  • domena efakturaplay.pdns.stream wskazuje na ten sam adres IP,
  • serwer C&C konia trojańskiego http://majcc.pdns.cz:1337/Vre jest łudząco podobny nazwą do kwieciencc.pdns.cz z ataku podszywającego się pod mBank,
  • vjw0rm używany jest praktycznie wyłącznie w analogicznych kampaniach.

Wygląda też na to, że w podobnej kampanii używana dzisiaj jest także domena email.pdns.download. Ciekawe, czy przestępca eksperymentuje z plikami PDF bo spada klikalność załączników, czy po prostu obudził się w nim duch innowatora?

Dziękujemy Czytelnikom, którzy podesłali próbki i Anonimowym Analitykom, którzy je przeanalizowali.