Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

dodał 22 listopada 2017 o 22:18 w kategorii Złośniki  z tagami:
Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

Otrzymujemy zgłoszenia o nowym ataku na polskich internautów, lecz tym razem prawdopodobnie nie stoi za nim ten sam sprawca co zawsze – chociaż początkowa wiadomość jest zaskakująco dobrze przygotowana.

Trafiła w nasze ręce wiadomość ze złośliwym załącznikiem, która na pierwszy rzut oka wyglądała jak pozdrowienia od często opisywanego w naszym serwisie Thomasa, jednak przy bliższej analizie okazała się być zupełnie jak na niego nietypowa. Bardzo rzadko trafiają się tak ładnie przygotowane emaile które wysyłałby inny przestępca. Ale po kolei.

Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia

Wiadomość przychodzi pod tytułem „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia” a jej nadawcą jest adres BiuroRoksanaKowalska1958@mines.pl. Wygląda zupełnie jak jeden z emaili Thomasa, jednak wysyłana jest z innego serwera

Received: from mx4.liberomail.gdn (mx4.liberomail.gdn [212.237.46.41])

Wygląda następująco:

Szanowni Panstwo,

Dziekujemy za skorzystanie z uslug ZOZ ADAMED Sp. z o.o..
Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4463 na kwote 9536.18 zl, ktory przesylamy w zaalaczeniu.

Pobierz fakture w pliku Faktura nr 4463/11/20.pdf

Haslo do otworzenia faktury brzmi: 29062016

Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.

Z powazaniem,
Kowalska Roksana
Dyrektor generalny

ZOZ ADAMED Sp. z o.o.
ul. Wagonowa 32 Bydgoszcz PL
NIP: PL4150356292

Link ukryty pod „Pobierz fakturę” prowadzi do adresu

http://rf937.tk/d/Faktura-20112017-%20do%20oplacenia.pdf%20(5).zip

Tam czeka zabezpieczone hasłem archiwum ZIP, a w nim plik

Faktura-20112017- do oplacenia.pdf.exe

Plik wykonywalny jest samorozpakowującym się archiwum RAR, zawierającym kilka plików:

Fhrdbi.exe
Besvxamvenag.xml
Nulmigrmkwhrrxoeoa.png
Nxehdojkiicchmb.dat

Nazwami plików – oprócz Fhrdbi.exe – nie ma się co przejmować, ponieważ nie zawierają tego, na co ich nazwy potencjalnie wskazują. Sam plik Fhrdbi.exe to narzędzie do maskowania prawdziwego kodu (tzw. injector / packer), zapisanego w zaszyfrowanej formie w pliku „XML”. Po drodze plik EXE wyświetla jeszcze pusty plik PDF, a docelowy wykonywany EXE to program Fareit, napisane w assemblerze popularne narzędzie przestępców służące do kradzieży wszelkich możliwych danych uwierzytelniających. Ten egzemplarz łączy się z serwerem pod adresem

http://vps283451.ovh.net/p/gate.php

na który przesyła wykradzione dane.

Uczymy tego na wykładach
Na szkoleniach dla pracowników uczymy rozpoznawać właśnie takie ataki – ten nasi słuchacze zidentyfikują bez problemu (brak polskich liter w temacie oraz archiwum z hasłem to silne przesłanki by nie klikać w załącznik). Możesz zamówić nasz wykład, a gwarantujemy, że Twoi pracownicy będą chcieli więcej (są firmy, które odwiedzaliśmy już kilka razy, bo inne działy zazdrościły tym już przeszkolonym).

Przy okazji analizy tego zagrożenia udało się nam zidentyfikować inne ezgemplarze, które mogą być rozsyłane także w innych, analogicznych kampaniach. Skróty SHA256 plików używanych przez przestępcę:

041888ee9e2ea367033ccc578e5e1884d9ad948d97dc584f7143cc1712b97841
bf260daba0acc55c89e384627329171f3a5f465757c89c8207a05911f96e117b
6f559bb7f1a47a23186afab2dff9074898d152517c4bcdb33acb9c00e3f34ec1
6e12ae892619e5a697cc7817f815e68e6154b177fd47ff49cbecbd90faf0cf88
4268a4d7ac3ae12168ecb27d985e2a23a735d0db3540aee4d3e57cade22d3451
94e5edbbd2a0ec1e0391db94f20577aead571f9a6be7eadf7baaa1ddb02c5ac8
bf260daba0acc55c89e384627329171f3a5f465757c89c8207a05911f96e117b

Adresy serwerów C&C używanych przez przestępcę:

http://46.183.217.146/p/gate.php
http://46.183.217.145/p/gate.php
http://46.183.217.152/p/gate.php
http://46.183.217.151/p/gate.php
http://46.183.223.240/p/gate.php
http://46.183.223.241/p/gate.php
http://vps283451.ovh.net/p/gate.php

Dziękujemy Czytelnikom podsyłającym próbki i Anonimowym Analitykom, analizującym je w pocie czoła.