Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

dodał 22 listopada 2017 o 22:18 w kategorii Złośniki  z tagami:
Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

Otrzymujemy zgłoszenia o nowym ataku na polskich internautów, lecz tym razem prawdopodobnie nie stoi za nim ten sam sprawca co zawsze – chociaż początkowa wiadomość jest zaskakująco dobrze przygotowana.

Trafiła w nasze ręce wiadomość ze złośliwym załącznikiem, która na pierwszy rzut oka wyglądała jak pozdrowienia od często opisywanego w naszym serwisie Thomasa, jednak przy bliższej analizie okazała się być zupełnie jak na niego nietypowa. Bardzo rzadko trafiają się tak ładnie przygotowane emaile które wysyłałby inny przestępca. Ale po kolei.

Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia

Wiadomość przychodzi pod tytułem „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia” a jej nadawcą jest adres BiuroRoksanaKowalska1958@mines.pl. Wygląda zupełnie jak jeden z emaili Thomasa, jednak wysyłana jest z innego serwera

Wygląda następująco:

Szanowni Panstwo,

Dziekujemy za skorzystanie z uslug ZOZ ADAMED Sp. z o.o..
Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4463 na kwote 9536.18 zl, ktory przesylamy w zaalaczeniu.

Pobierz fakture w pliku Faktura nr 4463/11/20.pdf

Haslo do otworzenia faktury brzmi: 29062016

Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.

Z powazaniem,
Kowalska Roksana
Dyrektor generalny

ZOZ ADAMED Sp. z o.o.
ul. Wagonowa 32 Bydgoszcz PL
NIP: PL4150356292

Link ukryty pod „Pobierz fakturę” prowadzi do adresu

Tam czeka zabezpieczone hasłem archiwum ZIP, a w nim plik

Plik wykonywalny jest samorozpakowującym się archiwum RAR, zawierającym kilka plików:

Nazwami plików – oprócz Fhrdbi.exe – nie ma się co przejmować, ponieważ nie zawierają tego, na co ich nazwy potencjalnie wskazują. Sam plik Fhrdbi.exe to narzędzie do maskowania prawdziwego kodu (tzw. injector / packer), zapisanego w zaszyfrowanej formie w pliku „XML”. Po drodze plik EXE wyświetla jeszcze pusty plik PDF, a docelowy wykonywany EXE to program Fareit, napisane w assemblerze popularne narzędzie przestępców służące do kradzieży wszelkich możliwych danych uwierzytelniających. Ten egzemplarz łączy się z serwerem pod adresem

na który przesyła wykradzione dane.

Uczymy tego na wykładach
Na szkoleniach dla pracowników uczymy rozpoznawać właśnie takie ataki – ten nasi słuchacze zidentyfikują bez problemu (brak polskich liter w temacie oraz archiwum z hasłem to silne przesłanki by nie klikać w załącznik). Możesz zamówić nasz wykład, a gwarantujemy, że Twoi pracownicy będą chcieli więcej (są firmy, które odwiedzaliśmy już kilka razy, bo inne działy zazdrościły tym już przeszkolonym).

Przy okazji analizy tego zagrożenia udało się nam zidentyfikować inne ezgemplarze, które mogą być rozsyłane także w innych, analogicznych kampaniach. Skróty SHA256 plików używanych przez przestępcę:

Adresy serwerów C&C używanych przez przestępcę:

Dziękujemy Czytelnikom podsyłającym próbki i Anonimowym Analitykom, analizującym je w pocie czoła.