Historia kołem się toczy, czyli powrót ataków z motywem Poczty Polskiej

dodał 20 października 2017 o 17:13 w kategorii Złośniki  z tagami:
Historia kołem się toczy, czyli powrót ataków z motywem Poczty Polskiej

Dość rzadko zdarza się nam znaleźć złośliwego emaila, o którym możemy powiedzieć, że już go gdzieś widzieliśmy. Większość przestępców zmienia swoje wzory ataków – czasem jednak nas zaskakują wracając do szablonów sprzed miesięcy.

Kampania ransomware Vortex/Flotera autorstwa Thomasa jest w pełnym rozkwicie. Codziennie trafiają do nas różne jej próbki, ostatnio wykorzystujące w różnych konfiguracjach opisywaną przez nas kilka dni temu odkrytą przez przestępców funkcję Worda. Nie inaczej jest i tym razem, chociaż łańcuch kolejnych etapów dostarczenia malware ulega ciągłej ewolucji.

Poczta Polska – E-Powiadomienie o Awizowanej przesyłce

Wiadomość od przestępcy przychodzi pod tytułem „Poczta Polska – E-Powiadomienie o Awizowanej przesyłce” i wygląda następująco:

Jak widać przestępca nie jest geniuszem zła i w treści wiadomości popełnił trochę błędów (np. „30 październik” zamiast „30 października” , „Odbiroca” zamiast „Odbiorca”), lecz dla nas najciekawsze jest to, że już kiedyś widzieliśmy podobny szablon. Było to 26 listopada 2016, kiedy to zaobserwowaliśmy pierwszą kampanię Thomasa po dłuższej przerwie. Wówczas wiadomość wyglądała tak:

Nowa wiadomość została udoskonalona – w tekście pojawiło się imię i nazwisko prawdziwego adresata złośliwej wiadomości. Używanie prawdziwych danych osobowych odbiorców wskazuje, że przestępca korzysta z bazy danych zawierającej nie tylko adresy email, ale także imiona i nazwiska ofiar. Podobnego schematu używał także w ostatnich kampaniach, gdzie adresatami były różne firmy.

Co się dzieje w załączniku

W załączniku nowej kampanii znajduje się dokument

który najpierw wyświetla takie okno dialogowe:

a następnie takie:

Aby zachęcić użytkownika do kliknięcia wyświetla też komunikat o treści:

Trwa ładowanie danych ze zdalnego serwera.
Potwierdź chęć aktualizacji dokumentu.

Korzystając ze „sztuczki DDE” wywołuje (po dwukrotnym kliknięciu wprowadzonego w błąd użytkownika) polecenie

Tak skonstruowana ścieżka powoduje, że w komunikacie Worda pokazuje się MSWord.exe zamiast mstha.exe. Pod adresem wskazanym w poleceniu znajduje się fragment zaciemnionego JavaScriptu

który pod odciemnieniu daje kod VBScript:

zawierający polecenie PowerShella, które po odciemnieniu daje:

W pliku wind.exe znajduje się docelowy złośliwy kod, czyli wspomniany na początku wpisu ransomware. Złośnik kontaktuje się z serwerem

w celu pobrania klucza szyfrującego i przesłania informacji o udanej infekcji.