Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza

dodał 10 października 2018 o 17:34 w kategorii Socjo, Złośniki  z tagami:
Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza

Od rana do Waszych skrzynek trafiają e-maile, w których przestępca podszywa się pod Zakład Ubezpieczeń Społecznych. Atakujący ma jednak najwyraźniej problemy techniczne – pliki, którymi próbuje Was infekować, albo nie działają, albo są nieskuteczne.

Czasem obserwowanie działań przestępców przypomina seans filmu z Benny Hillem. Niektórzy co chwilę potykają się o własne nogi, wpadają do każdej kałuży i biegają bez sensu w kółko. Nie inaczej jest w przypadku tego ataku.

E-mail nawet całkiem przyzwoity

Wiadomość, w której przestępca próbuje przekonać Was do zainstalowania złośliwego oprogramowania, jest przygotowana w miarę przyzwoicie. Wygląda tak:

Od: Zaklad Ubezpieczen Spolecznych <ZUS@gov.pl>
Data: 10 października 2018 o 09:53
Temat: Zalegle skladki

Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]

SKLADKI NA DZIEN 2018.10.10

[ Szamocka 3/5 · +48 22 560 16 00] e-mail: [zus@gov.pl] www: [zus.pl]

To nie jedyna próbka – do tej pory dotarły do nas trzy różne, lecz wszystkie były dość podobne. Najnowsza ma nieco inną treść:

Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzis oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierdzic otrzymanie srodkow. SKLADKI NA DZIEN 2018.10.10 Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl

Złośliwe pliki do niczego

O ile e-maila jest dość łatwo przygotować, o tyle skuteczne dostarczenie złośliwego oprogramowania jest bardziej problematyczne i najwyraźniej przerosło autora kampanii. Zidentyfikowaliśmy trzy różne linki, prowadzące do różnych plików, lecz żaden z nich nie działa zgodnie z oczekiwaniami twórcy.

W pierwszej iteracji wysyłany był link:

lecz autor bardzo szybko usunął docelowy plik z serwera. Zrobił to zapewne dlatego, że plik był mocno uszkodzony. Zawierał – co prawda – treść, lecz był nieprawidłowo zbudowany, przez co otwierał się w Wordzie jako zwykły plik, niezdolny do wyrządzenia jakiejkolwiek szkody.

Tak uszkodzone pliki można jednak poddać analizie. Autor chciał, by uruchomienie tego pliku powodowało wizytę pod adresem:

przekierowującym do adresu:

gdzie czekał złośliwy plik:

Analiza linku bit.ly potwierdza, że nikt go nie odwiedził (poza kilkoma analitykami). Atak był zatem nieskuteczny.

Przestępca najwyraźniej zorientował się, że jego atak nie działa i postanowił go poprawić. Tym razem w kolejnej fali wysyłek umieścił link do strony:

Ten plik również nie wykonywał się po uruchomieniu – ale gdyby się uruchomił, odwiedziłby adres:

zawierający przekierowanie na:

gdzie czekał złośliwy plik:

Także w tej wersji liczba kliknięć w link bit.ly sugeruje, że tylko analitycy skutecznie wydobyli adres pliku, który miał robić Wam krzywdę.

Był także trzeci link:

W tym pliku ZIP krył się znany z pierwszej iteracji plik SKAN 2018.10.10.doc, tak samo uszkodzony i nieaktywny.

Podsumowując ten kawałek analizy – autor wyprodukował trzy różne linki, prowadzące do trzech różnych plików, zawierających dwa różne dokumenty, których zadaniem było atakowanie Waszego nieaktualnego Worda. Żaden z plików nie zadziałał zgodnie z jego oczekiwaniami.

Co miało czekać na końcu?

Gdyby działania napastnika były skuteczne, na komputerach ofiar zostałby uruchomiony plik wykonywalny. W obu zaobserwowanych wersjach zawierał on konia trojańskiego z rodziny Kronos, posiadającego budowę modułową i umożliwiającego przejęcie kontroli na komputerem ofiary, korzystającego z serwera C&C w sieci Tor. Dalsza analiza pokazuje, że z kolei Kronos pobiera między innymi ransomware GandCrab.  Na szczęście wygląda na to, że tylko nam udało się go uruchomić ;)