10.10.2018 | 17:34

Adam Haertle

Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza

Od rana do Waszych skrzynek trafiają e-maile, w których przestępca podszywa się pod Zakład Ubezpieczeń Społecznych. Atakujący ma jednak najwyraźniej problemy techniczne – pliki, którymi próbuje Was infekować, albo nie działają, albo są nieskuteczne.

Czasem obserwowanie działań przestępców przypomina seans filmu z Benny Hillem. Niektórzy co chwilę potykają się o własne nogi, wpadają do każdej kałuży i biegają bez sensu w kółko. Nie inaczej jest w przypadku tego ataku.

E-mail nawet całkiem przyzwoity

Wiadomość, w której przestępca próbuje przekonać Was do zainstalowania złośliwego oprogramowania, jest przygotowana w miarę przyzwoicie. Wygląda tak:

Od: Zaklad Ubezpieczen Spolecznych <[email protected]>
Data: 10 października 2018 o 09:53
Temat: Zalegle skladki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKLADKI NA DZIEN 2018.10.10

[ Szamocka 3/5 · +48 22 560 16 00] e-mail: [[email protected]] www: [zus.pl]

To nie jedyna próbka – do tej pory dotarły do nas trzy różne, lecz wszystkie były dość podobne. Najnowsza ma nieco inną treść:

Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzis oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierdzic otrzymanie srodkow. SKLADKI NA DZIEN 2018.10.10 Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl

Złośliwe pliki do niczego

O ile e-maila jest dość łatwo przygotować, o tyle skuteczne dostarczenie złośliwego oprogramowania jest bardziej problematyczne i najwyraźniej przerosło autora kampanii. Zidentyfikowaliśmy trzy różne linki, prowadzące do różnych plików, lecz żaden z nich nie działa zgodnie z oczekiwaniami twórcy.

W pierwszej iteracji wysyłany był link:

http://s000.tinyupload.com/download.php?file_id=02050147363398326419&t=0205014736339832641975716

Składki na dzien 2018.10.10.doc

lecz autor bardzo szybko usunął docelowy plik z serwera. Zrobił to zapewne dlatego, że plik był mocno uszkodzony. Zawierał – co prawda – treść, lecz był nieprawidłowo zbudowany, przez co otwierał się w Wordzie jako zwykły plik, niezdolny do wyrządzenia jakiejkolwiek szkody.

Tak uszkodzone pliki można jednak poddać analizie. Autor chciał, by uruchomienie tego pliku powodowało wizytę pod adresem:

http://bit.ly/2ONVBS5

przekierowującym do adresu:

http://s000.tinyupload.com/?file_id=06638980041805414208

gdzie czekał złośliwy plik:

Windows process.exe 
SHA1: 4237169c5242d241f205116921e59b52b92c14bd
VT: https://www.virustotal.com/#/file/c48121bbaaa8353a6681b2e2aaa0245f3681c815c87d90fd8fb833061f67ff43/detection

Analiza linku bit.ly potwierdza, że nikt go nie odwiedził (poza kilkoma analitykami). Atak był zatem nieskuteczny.

Przestępca najwyraźniej zorientował się, że jego atak nie działa i postanowił go poprawić. Tym razem w kolejnej fali wysyłek umieścił link do strony:

https://fs03n1.sendspace.com/dl/8eac0e52f975bb47505b78eff69f06db/5bbddec6231cc1fd/vjabxm/SKAN%202018.10.10.doc
SKAN 2018.10.10.doc
SHA1: a7c75e62cd52dff486fa4e6f5239b4e6d190e8bd

Ten plik również nie wykonywał się po uruchomieniu – ale gdyby się uruchomił, odwiedziłby adres:

https://bitly.com/2Cz0PLR

zawierający przekierowanie na:

https://fs01n4.sendspace.com/dl/8d93c52b557c9654792441d6fd90cdb5/5bbddde7201a2ec5/ydvcv4/SKAN.DOC.exe

gdzie czekał złośliwy plik:

SKAN.DOC.exe
SHA1: 85df1e4f362b0bd9f48016b7f155aa757f7bc1d7
VT: https://www.virustotal.com/#/file/0664c46691135a3d6015354e0f0c54fd09fed20ab5b8b2582c799dfe35d2dd69/details"

Także w tej wersji liczba kliknięć w link bit.ly sugeruje, że tylko analitycy skutecznie wydobyli adres pliku, który miał robić Wam krzywdę.

Był także trzeci link:

https://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip

W tym pliku ZIP krył się znany z pierwszej iteracji plik SKAN 2018.10.10.doc, tak samo uszkodzony i nieaktywny.

Podsumowując ten kawałek analizy – autor wyprodukował trzy różne linki, prowadzące do trzech różnych plików, zawierających dwa różne dokumenty, których zadaniem było atakowanie Waszego nieaktualnego Worda. Żaden z plików nie zadziałał zgodnie z jego oczekiwaniami.

Co miało czekać na końcu?

Gdyby działania napastnika były skuteczne, na komputerach ofiar zostałby uruchomiony plik wykonywalny. W obu zaobserwowanych wersjach zawierał on konia trojańskiego z rodziny Kronos, posiadającego budowę modułową i umożliwiającego przejęcie kontroli na komputerem ofiary, korzystającego z serwera C&C w sieci Tor. Dalsza analiza pokazuje, że z kolei Kronos pobiera między innymi ransomware GandCrab.  Na szczęście wygląda na to, że tylko nam udało się go uruchomić ;)

 

Powrót

Komentarze

  • 2018.10.10 18:01 Wujek Pawel

    Jaki kraj tacy chakerzy. Reforma edukacji zrobila swoje.

    Odpowiedz
  • 2018.10.10 18:09 Am

    Przecież to jakaś tragedia. ZUS ma domenę ZUS.PL,a nie jakieś [email protected], Faktura z ZUS? Równie prawdopodobne jak rachunek za prąd z urzędu skarbowego. Wygląda w miarę przyzwoicie?? [email protected] a potem jakieś luxury profit? Nie qmam.
    Powinno byc;
    Dotyczy zaległości na koncie bla bla bla
    Kliknij aby prześledzić historie wpłat.
    Zaległe składki należy wpłacić na Costam Costam. Przy umiejętnym phishingu zakładając odpowiednie nry kont można jeszcze kogoś na wpłatę naciągnąć jeśli nie będzie sprawdzał linków… Z trojanami

    Odpowiedz
    • 2018.10.10 20:21 Wujek Pawel

      Przeciez to jakis „niedorozwuj po gimnazjum” robil. W sumie to mam mieszane uczucia czy ten „atak” w ogole zasluguje na informowanie o nim.

      Odpowiedz
      • 2018.10.10 21:18 Ciocia Jadzia

        Wujek, mam mieszane uczucia czy Twoj komentarz zaslugje na pojawienie sie tutaj.
        Prosba nie pisz bo zal i smutek zapanowal…

        Odpowiedz
        • 2018.10.11 12:34 Wujek Pawel

          Masz cos wspolnego z tym „atakiem”, ze sie tak poruszyles?

          Odpowiedz
          • 2018.10.11 16:24 Ciocia Jadzia

            @Wujek, podobnie jak wujostwo pozwolilem sobie na nikomu nie potrzebna i nikogo nieinteresujaca wycieczke osobista, czy ma sens potwierdzac ze ten 'atak’ to smutek i zal…? Nie. Czy wolalbym unikac takich informacji? Tak. Czy chce byc ofiara takiego ataku? Nie. I moze Cie wujku zastanawiac dlaczego? Odpowiedz jest prosta, zal i smutek ze ktos moze tak nieudolnie robic 'atak’. @Wujek nie strzela focha, tylko sie usmiechnie za chwile wujkowi przyniose paputki i piwo… i wujek bedzie mogl po pracy odpoczac.

  • 2018.10.11 09:39 Tomek

    Tomek wpadł a kampanie jak były tak są :D

    Odpowiedz
  • 2019.02.26 09:17 I

    jeśli tylko analitycy wchodzili pod dany adres to jaką wiedzę zyskał atakujący ?

    Odpowiedz

Zostaw odpowiedź

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza

Komentarze