Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza

dodał 10 października 2018 o 17:34 w kategorii Socjo, Złośniki  z tagami:
Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza

Od rana do Waszych skrzynek trafiają e-maile, w których przestępca podszywa się pod Zakład Ubezpieczeń Społecznych. Atakujący ma jednak najwyraźniej problemy techniczne – pliki, którymi próbuje Was infekować, albo nie działają, albo są nieskuteczne.

Czasem obserwowanie działań przestępców przypomina seans filmu z Benny Hillem. Niektórzy co chwilę potykają się o własne nogi, wpadają do każdej kałuży i biegają bez sensu w kółko. Nie inaczej jest w przypadku tego ataku.

E-mail nawet całkiem przyzwoity

Wiadomość, w której przestępca próbuje przekonać Was do zainstalowania złośliwego oprogramowania, jest przygotowana w miarę przyzwoicie. Wygląda tak:

Od: Zaklad Ubezpieczen Spolecznych <ZUS@gov.pl>
Data: 10 października 2018 o 09:53
Temat: Zalegle skladki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKLADKI NA DZIEN 2018.10.10

[ Szamocka 3/5 · +48 22 560 16 00] e-mail: [zus@gov.pl] www: [zus.pl]

To nie jedyna próbka – do tej pory dotarły do nas trzy różne, lecz wszystkie były dość podobne. Najnowsza ma nieco inną treść:

Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzis oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierdzic otrzymanie srodkow. SKLADKI NA DZIEN 2018.10.10 Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl

Złośliwe pliki do niczego

O ile e-maila jest dość łatwo przygotować, o tyle skuteczne dostarczenie złośliwego oprogramowania jest bardziej problematyczne i najwyraźniej przerosło autora kampanii. Zidentyfikowaliśmy trzy różne linki, prowadzące do różnych plików, lecz żaden z nich nie działa zgodnie z oczekiwaniami twórcy.

W pierwszej iteracji wysyłany był link:

http://s000.tinyupload.com/download.php?file_id=02050147363398326419&t=0205014736339832641975716

Składki na dzien 2018.10.10.doc

lecz autor bardzo szybko usunął docelowy plik z serwera. Zrobił to zapewne dlatego, że plik był mocno uszkodzony. Zawierał – co prawda – treść, lecz był nieprawidłowo zbudowany, przez co otwierał się w Wordzie jako zwykły plik, niezdolny do wyrządzenia jakiejkolwiek szkody.

Tak uszkodzone pliki można jednak poddać analizie. Autor chciał, by uruchomienie tego pliku powodowało wizytę pod adresem:

http://bit.ly/2ONVBS5

przekierowującym do adresu:

http://s000.tinyupload.com/?file_id=06638980041805414208

gdzie czekał złośliwy plik:

Windows process.exe 
SHA1: 4237169c5242d241f205116921e59b52b92c14bd
VT: https://www.virustotal.com/#/file/c48121bbaaa8353a6681b2e2aaa0245f3681c815c87d90fd8fb833061f67ff43/detection

Analiza linku bit.ly potwierdza, że nikt go nie odwiedził (poza kilkoma analitykami). Atak był zatem nieskuteczny.

Przestępca najwyraźniej zorientował się, że jego atak nie działa i postanowił go poprawić. Tym razem w kolejnej fali wysyłek umieścił link do strony:

https://fs03n1.sendspace.com/dl/8eac0e52f975bb47505b78eff69f06db/5bbddec6231cc1fd/vjabxm/SKAN%202018.10.10.doc
SKAN 2018.10.10.doc
SHA1: a7c75e62cd52dff486fa4e6f5239b4e6d190e8bd

Ten plik również nie wykonywał się po uruchomieniu – ale gdyby się uruchomił, odwiedziłby adres:

https://bitly.com/2Cz0PLR

zawierający przekierowanie na:

https://fs01n4.sendspace.com/dl/8d93c52b557c9654792441d6fd90cdb5/5bbddde7201a2ec5/ydvcv4/SKAN.DOC.exe

gdzie czekał złośliwy plik:

SKAN.DOC.exe
SHA1: 85df1e4f362b0bd9f48016b7f155aa757f7bc1d7
VT: https://www.virustotal.com/#/file/0664c46691135a3d6015354e0f0c54fd09fed20ab5b8b2582c799dfe35d2dd69/details"

Także w tej wersji liczba kliknięć w link bit.ly sugeruje, że tylko analitycy skutecznie wydobyli adres pliku, który miał robić Wam krzywdę.

Był także trzeci link:

https://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip

W tym pliku ZIP krył się znany z pierwszej iteracji plik SKAN 2018.10.10.doc, tak samo uszkodzony i nieaktywny.

Podsumowując ten kawałek analizy – autor wyprodukował trzy różne linki, prowadzące do trzech różnych plików, zawierających dwa różne dokumenty, których zadaniem było atakowanie Waszego nieaktualnego Worda. Żaden z plików nie zadziałał zgodnie z jego oczekiwaniami.

Co miało czekać na końcu?

Gdyby działania napastnika były skuteczne, na komputerach ofiar zostałby uruchomiony plik wykonywalny. W obu zaobserwowanych wersjach zawierał on konia trojańskiego z rodziny Kronos, posiadającego budowę modułową i umożliwiającego przejęcie kontroli na komputerem ofiary, korzystającego z serwera C&C w sieci Tor. Dalsza analiza pokazuje, że z kolei Kronos pobiera między innymi ransomware GandCrab.  Na szczęście wygląda na to, że tylko nam udało się go uruchomić ;)