22.11.2017 | 22:18

Adam Haertle

Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

Otrzymujemy zgłoszenia o nowym ataku na polskich internautów, lecz tym razem prawdopodobnie nie stoi za nim ten sam sprawca co zawsze – chociaż początkowa wiadomość jest zaskakująco dobrze przygotowana.

Trafiła w nasze ręce wiadomość ze złośliwym załącznikiem, która na pierwszy rzut oka wyglądała jak pozdrowienia od często opisywanego w naszym serwisie Thomasa, jednak przy bliższej analizie okazała się być zupełnie jak na niego nietypowa. Bardzo rzadko trafiają się tak ładnie przygotowane emaile które wysyłałby inny przestępca. Ale po kolei.

Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia

Wiadomość przychodzi pod tytułem „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o. – do oplacenia” a jej nadawcą jest adres [email protected]. Wygląda zupełnie jak jeden z emaili Thomasa, jednak wysyłana jest z innego serwera

Received: from mx4.liberomail.gdn (mx4.liberomail.gdn [212.237.46.41])

Wygląda następująco:

Szanowni Panstwo,

Dziekujemy za skorzystanie z uslug ZOZ ADAMED Sp. z o.o..
Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4463 na kwote 9536.18 zl, ktory przesylamy w zaalaczeniu.

Pobierz fakture w pliku Faktura nr 4463/11/20.pdf

Haslo do otworzenia faktury brzmi: 29062016

Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.

Z powazaniem,
Kowalska Roksana
Dyrektor generalny

ZOZ ADAMED Sp. z o.o.
ul. Wagonowa 32 Bydgoszcz PL
NIP: PL4150356292

Link ukryty pod „Pobierz fakturę” prowadzi do adresu

http://rf937.tk/d/Faktura-20112017-%20do%20oplacenia.pdf%20(5).zip

Tam czeka zabezpieczone hasłem archiwum ZIP, a w nim plik

Faktura-20112017- do oplacenia.pdf.exe

Plik wykonywalny jest samorozpakowującym się archiwum RAR, zawierającym kilka plików:

Fhrdbi.exe
Besvxamvenag.xml
Nulmigrmkwhrrxoeoa.png
Nxehdojkiicchmb.dat

Nazwami plików – oprócz Fhrdbi.exe – nie ma się co przejmować, ponieważ nie zawierają tego, na co ich nazwy potencjalnie wskazują. Sam plik Fhrdbi.exe to narzędzie do maskowania prawdziwego kodu (tzw. injector / packer), zapisanego w zaszyfrowanej formie w pliku „XML”. Po drodze plik EXE wyświetla jeszcze pusty plik PDF, a docelowy wykonywany EXE to program Fareit, napisane w assemblerze popularne narzędzie przestępców służące do kradzieży wszelkich możliwych danych uwierzytelniających. Ten egzemplarz łączy się z serwerem pod adresem

http://vps283451.ovh.net/p/gate.php

na który przesyła wykradzione dane.

Uczymy tego na wykładach
Na szkoleniach dla pracowników uczymy rozpoznawać właśnie takie ataki – ten nasi słuchacze zidentyfikują bez problemu (brak polskich liter w temacie oraz archiwum z hasłem to silne przesłanki by nie klikać w załącznik). Możesz zamówić nasz wykład, a gwarantujemy, że Twoi pracownicy będą chcieli więcej (są firmy, które odwiedzaliśmy już kilka razy, bo inne działy zazdrościły tym już przeszkolonym).

Przy okazji analizy tego zagrożenia udało się nam zidentyfikować inne ezgemplarze, które mogą być rozsyłane także w innych, analogicznych kampaniach. Skróty SHA256 plików używanych przez przestępcę:

041888ee9e2ea367033ccc578e5e1884d9ad948d97dc584f7143cc1712b97841
bf260daba0acc55c89e384627329171f3a5f465757c89c8207a05911f96e117b
6f559bb7f1a47a23186afab2dff9074898d152517c4bcdb33acb9c00e3f34ec1
6e12ae892619e5a697cc7817f815e68e6154b177fd47ff49cbecbd90faf0cf88
4268a4d7ac3ae12168ecb27d985e2a23a735d0db3540aee4d3e57cade22d3451
94e5edbbd2a0ec1e0391db94f20577aead571f9a6be7eadf7baaa1ddb02c5ac8
bf260daba0acc55c89e384627329171f3a5f465757c89c8207a05911f96e117b

Adresy serwerów C&C używanych przez przestępcę:

http://46.183.217.146/p/gate.php
http://46.183.217.145/p/gate.php
http://46.183.217.152/p/gate.php
http://46.183.217.151/p/gate.php
http://46.183.223.240/p/gate.php
http://46.183.223.241/p/gate.php
http://vps283451.ovh.net/p/gate.php

Dziękujemy Czytelnikom podsyłającym próbki i Anonimowym Analitykom, analizującym je w pocie czoła.

Powrót

Komentarze

  • 2017.11.22 22:33 Uwierzytelnianie

    Brak polskich znaków, „dokument Faktura 4463”, „zaalaczeniu” – zaskakująco dobrze przygotowana?

    Odpowiedz
    • 2017.11.22 22:42 Adam

      Tak, bo reszta wygląda gorzej.

      Odpowiedz
  • 2017.11.23 06:24 Xxx

    Link do virustotal? Jak wyglada reakcja wendorow AV na tego typi lokalne zagrozenia? Kto pierwszy? ostatnio kaspersky kazal czekac 3 dni na dodamie sygnatur!!!!!

    Odpowiedz
  • 2017.11.23 10:37 Thomas

    Facet się zbytnio nie wysilił. 1 Większości już wbiliście do głowy że ZIP to ZŁOO.
    2. Po wypakowaniu z ZIPa zostanie EXE sfx nie szyfrowany którego wywali większość antywirusów bo są uczulone na tym punkcie.
    Działa to tak od mniej więcej roku kiedy to Ransom32 działający w modelu RAAS, rozprzestrzeniał się właśnie przez SFX które wypakowywało EXE z procesem Tora, javascript który szyfrował bodajże i trzeci exe który sprzątał.
    Teraz każde archiwum SFX samorozpakowujące zawierajace exe jest z góry wykrywane przez kilka AV dlatego zrezygnowałem z tej metody.
    Musiał by stworzyć archiwum SFX szyfrowane hasłem, następnie zmienić rozszerzenie z EXE na SCR (ewentualnie jeszcze z scr na PIF) i wtedy zapakować do zipa.
    Wtedy plik byłby niewykrywalny dodatkowo nie wiem do końca czemu wszystkie okna instalacyjne zostają ukryte i nie pyta nas czy wypakować pliki tylko po prostu to robi.
    Widać brak autorowi obycia…

    Odpowiedz
    • 2017.11.23 17:43 wujek pawel

      Napisal typ, ktrego tworczosc przypomina slynnego albanskiego wirusa.

      Odpowiedz
  • 2017.11.23 11:27 sofokles

    Nie moja to sprawa, ale [cyt. „(są firmy, które odwiedzaliśmy już kilka razy, bo inne działy zazdrościły tym już przeszkolonym)”], to drobna przesada! Skoro każdy obecny pracownik ma „informatykę” w szkole od podstawówki, ponadto USILNIE twierdzi, że swobodny dostęp do internetu jest mu niezbędny do realizowania zadań na stanowisku… To jak dla mnie, jest również w pełni świadomy jakie są zagrożenia w tym internecie i jak je rozpoznawać i omijać! Dlatego też, w firmie jest punkt podawczy z JEDYNYM adresem poczty elektronicznej do firmy (poczta odbierana i wysyłana z firmy) co prawda, to dodatkowe stanowiska pracy ale mniejsze koszty usterek softowych. Weryfikacja poczty elektronicznej odbywa się w tym miejscu i przez ludzi obeznanych zawodowo z indolencją internautów (np. zawirusowany komputer nadawcy). Obieg dokumentacji jest elektroniczny i żaden pracownik nie musi mieć adresu poczty elektronicznej publicznie dostępnego. Próba wysłania poczty elektronicznej z konta firmowego jest filtrowane, generowane powiadomienie do Dyrekcji i list elektroniczny ląduje w „zamrażarce”. Każdy kto przychodzi do firmy podpisuje dokument w którym oświadcza, że został poinformowany i przeszkolony z zasad korzystania z adresów e-mail firmowych oraz, że ma świadomość iż korespondencja z konta pocztowego pracownika jest monitorowana i filtrowana zgodnie z polityka bezpieczeństwa informacji! Jak do tej pory, problemów z odbiorem i nadawaniem korespondencji nie ma problemu. Dokumenty nie giną, dzienniki wejść i wyjść nie mają braków. Spam i wszelkie badziewie jest filtrowane na wejściu, czyli w miejscu gdzie za większą kasę można użyć lepszych rozwiązań! A wygoda pracownika? Od korespondencji to on MA SEKRETARIAT! Przy okazji realizowany jest K.P.A. choć nie obowiązuje, bo to nie urząd!

    Odpowiedz
    • 2017.11.25 19:28 B&B

      Ale ten pracownik co „podpisuje dokument w którym oświadcza, że został poinformowany i przeszkolony z zasad korzystania z adresów e-mail firmowych” dostaje faktyczne sensowne przeszkolenie czy działa to na zasadzie „Skoro każdy obecny pracownik ma „informatykę” w szkole od podstawówki, (…) jest również w pełni świadomy jakie są zagrożenia w tym internecie i jak je rozpoznawać i omijać!” i 'szkolenia’ są 'realizowane’ z takim podejściem?

      Odpowiedz
  • 2017.11.23 14:23 sz0k

    Mail z fakturą od Dyrektora Generalnego wydaje się być prawdziwy

    Odpowiedz
  • 2017.11.23 17:04 olke

    Jakie hasło do pliku

    Odpowiedz
  • 2017.11.27 09:25 bla

    faktycznie nadawca inny niż zwykle
    chodzi też wariant tego ataq:
    —————–
    Szanowni Panstwo,

    Dziekujemy za skorzystanie z uslug FILPLAST Sp. z o.o..
    Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4902 na kwote 7687.11 zl, ktory przesylamy w zaalaczeniu.
    —————–
    Haslo do otworzenia faktury brzmi: 1234

    Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.

    Z powazaniem,
    Wisniewska Kasia
    Dyrektor generalny

    FILPLAST Sp. z o.o.
    ul. Falata 6/42 Swiebodzice PL
    NIP: PL1452887854
    —————–
    Return-Path:
    Received: from ec2-34-240-2-32.eu-west-1.compute.amazonaws.com (34.240.2.32) (HELO libero.it.eu-west-1.compute.internal)
    by ###.home.pl (###) with SMTP (IdeaSmtpServer 0.82)
    id 6d1bb8e7150c58e6; Fri, 24 Nov 2017 15:10:51 +0100
    Received: by libero.it.eu-west-1.compute.internal (Postfix, from userid 33)
    id 01A3A6163B; Fri, 24 Nov 2017 14:11:47 +0000 (UTC)
    To: ###
    Subject: Faktura dla ### nr 4902/11/20 FILPLAST Sp. z o.o.
    Date: Fri, 24 Nov 2017 14:11:47 +0000
    From: Kasia Wisniewska
    Message-ID:
    X-Mailer: Microsoft Office Outlook, Build 12.0.4210
    MIME-Version: 1.0
    Content-Type: text/html; charset=iso-8859-1

    Szanowni Panstwo,
    Dziekujemy za skorzystanie z uslug FILPLAST Sp. z o.o..Jednoczesnie informujemy, ze dnia 2017-11-20 zostal wystawiony dokument Faktura 4902 na kwote 7687.11 zl, ktory przesylamy w zaalaczeniu.
    Pobierz fakture w pliku Faktura nr 4902/11/20.pdf

    Haslo do otworzenia faktury brzmi: 1234
    Prosimy o uregulowanie naleznosci zgodnie z terminem platnosci, podanym na fakturze.
    Z powazaniem,Wisniewska KasiaDyrektor generalny
    FILPLAST Sp. z o.o.ul. Falata 6/42 Swiebodzice PLNIP: PL1452887854

    ————-

    Odpowiedz
  • 2017.12.04 08:35 rekkoon

    Piszecie o tym, że fikcyjnego maila da się poznać po złej ortografii czy braku polskich znaków, a tymczasem ciężko było mi przebrnąć przez komentarze pod artykułem z powodu złej polszczyzny właśnie. Czyżby siedzieli tu twórcy owych maili i dyskutowali? :)

    Odpowiedz
  • 2017.12.11 14:31 Daniel

    Dodam jeszcze, że fake „faktury” dostępne są również pod adresem http://ka4948.gq/d/

    Odpowiedz

Zostaw odpowiedź do Daniel

Jeśli chcesz zwrócić uwagę na literówkę lub inny błąd techniczny, zapraszamy do formularza kontaktowego. Reagujemy równie szybko.

Uwaga na nietypowy atak „Faktura nr 4463/11/20 ZOZ ADAMED Sp. z o.o.”

Komentarze