Uwaga na nową falę ataków na internautów. Tym razem Roksa, pozwy i faktury

dodał 1 września 2015 o 18:38 w kategorii Złośniki  z tagami:
Uwaga na nową falę ataków na internautów. Tym razem Roksa, pozwy i faktury

Dostajemy sygnały o trwającej właśnie nowej kampanii złośliwego oprogramowania. Rozpoznaliśmy do tej pory trzy wersje wiadomości ze złośliwym załącznikiem – wszystkie wydają się pochodzić od jednego nadawcy, choć grupy docelowe są różne.

Przestępcy nie śpią (trzymają bitcoiny) i nie próżnują. Codziennie dostajemy od Was kilkanaście wiadomości budzących Wasze (najczęściej słuszne) wątpliwości. Choć większość podsyłanych prób ataku jest dość znana i dobrze opisana, to czasem trafia się coś nowego – tak jest i tym razem.

Wariant 1, czyli ktoś się podszywa na Roksie

Roksa.pl to dość podobno popularny serwis zawierający oferty usług pań do towarzystwa. Próbki wiadomości, które do nas dotarły, adresowane były do kobiet.

Temat: ktos sie podszywa na roksie pod Ciebie‏

Treść:

Kochana, jakas kurwa sie pod Ciebie podszywa, wysyla takie zdjecie i nr tel, masz w zalaczniku, haslo wizytowka

Załącznik: plik wizytowka.pdf.rar, w nim wizytowka.pdf.scr.

Zrzut ekranu wiadomości

Zrzut ekranu wiadomości

Wariant 2, czyli zgłaszam to do prokuratury

Próbki, które do nas trafiły, adresowane były do kancelarii prawnych.

Temat: akt oskarzenia, wezwanie

Treść:

W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: pozew

Termin rozprawy otrzymacie poczta.

Pozdrawiam


Adam Galecki
Kancelaria Radcow Prawnych
Korwina 11
00-050 Warszawa

Inna wersja:

W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: wezwanie

Termin rozprawy otrzymacie poczta.

Pozdrawiam

Kamila Jarocka
Kancelaria JAROCKA
Moszynska 8
00-950 Warszawa

Trzecia wersja:

W zwiazku z brakiem kontaktu z Panstwa strony przekazuje akt oskarzenia przeciwko firmie, haslo: reklamacja

Termin rozprawy otrzymacie poczta.

Pozdrawiam

Adam Glowacki
Kancelaria Radcoy Prawnego
00-050 Warszawa

Czwarta wersja:

W zwiazku z brakiem kontaktu ze strony kancelarii przekazuje akt oskarzenia, prosze o zapoznanie sie, haslo: wezwanie1

Termin rozprawy otrzymacie poczta.

Pozdrawiam

Dominik Kusnierz
Kusnierz Kancelaria Prawna
Wojskowa 56
00-901 Warszawa

Możliwe załączniki:

  • sygn_akt_IIIK_3_8.pdf.rar, w nim sygn_akt_IIIK_3_8.pdf.scr
  • Sygn.akt IIK_4R_14.pdf.rar, w nim Sygn.akt IIK_4R_14.pdf.scr
  • sygnatura_akt_VK_11_3.pdf.rar, w nim sygnatura_akt_VK_11_3.pdf.scr
  • sygn_akt_IL_3_9.pdf.pdf.rar, w nim sygn_akt_IL_3_9.pdf.scr

Wariant 3, czyli korygujemy faktury

Tym razem występuje wątek finansowy. Przykładowa wiadomość poniżej.

Temat: korekta faktury z 25

Treść:

Prosze jesli mozna dzis do 18 uregulowac, haslo: zasierpien – pisane razem.

Pozdrawiam

Zygmunt Kotarski
Domo Masters
Sp. z o. o.

Ul. Kuterska 58
00-091 Warszawa

Możliwe załączniki to:

  • faktura_korygujaca_17.pdf.rar, w nim faktura_korygujaca_17.pdf.scr
  • Faktura_26_07_2015.pdf.rar, w nim Faktura_26_07_2015.pdf.scr

Informacja o plikach

Załączniki o różnych samych nazwach są w istocie identycznymi plikami, zmieniającymi się co kilka dni. Te, na które trafiliśmy do tej pory to:

Próbka 1:

  • pierwszy ślad z 25 sierpnia
  • MD5: a3df7835cb8aba275d257264a5b019a8
  • SHA1: 6e0c2460c2f4a82e0189379f963b8963782241f1
  • C&C: 213.152.162.94, port 3835 oraz 213.152.161.15, port 3835
  • analiza pliku oraz sam plik do pobrania

Próbka 2:

Próbka 3:

  • pierwszy ślad z 31 sierpnia
  • MD5: 41b64a86514931d607775a23bfd2b692
  • SHA1: cd0b4b8684e355eacafeb18c14af5427a347f989
  • C&C: 213.152.162.94, port 3835 oraz 213.152.161.15, port 3835
  • analiza pliku oraz sam plik do pobrania

Próbka 4:

  • pierwszy ślad z 1 września
  • MD5: 268579c37d7e0a286bb04f7d7a4bc190
  • SHA1: f713d8636869b06856886829ad32fd4652b629f6
  • C&C: 213.152.161.170, port TCP 3838
  • analiza pliku oraz sam plik do pobrania

Próbka 5:

  • pierwszy ślad 7 września
  • MD5: f33bde6e7d1a901b3287bf0fa5e33896
  • SHA1: e248d685adca18033f198865fe3057a80a7f3594
  • C&C: nie udało się na razie ustalić
  • analiza pliku oraz sam plik do pobrania (plik znacząco różni się od wcześniejszych)

Jak na razie nie znamy pełnej funkcjonalności złośliwego pliku (prawdopodobnie pierwsze 4 egzemplarze są funkcjonalnie identyczne), jednak możemy powiedzieć, że:

  • analizuje środowisko, w którym się uruchamia,
  • instaluje się jako system.pif w folderze autostartu menu start,
  • dopisuje do autostartu w rejestrze,
  • zapisuje naciskane klawisze do c:\Users\<username>\AppData\Roaming\Logs\dzien-miesiąc-rok,
  • wykrada hasła zapisane w przeglądarkach i klientach poczty.

Wstępna analiza pokazuje także na związki ze złośliwym programem opisywanym w maju tego roku na blogu firmy Prevenity – wtedy rozsyłany był pod nazwą „pdf informacja o działki.exe„. Widzimy również analogię do kampanii z czerwca 2015, kiedy to rozsyłane były pliki:

  • F-VAT_czerwiec.pdf.scr,
  • windykacja_kruk_sa.pdf.scr.

Kto za tym stoi

Szukając innych próbek w tej samej kampanii trafiliśmy na ciekawy wątek powiązany z adresami IP serwerów C&C. Adresy te należą do usługi AirVPN, posiadającej również funkcję dynamicznego DNSa (można postawić serwer w domenie airdns.org, ukryty za VPNem). To dość naciągana próba, lecz jedynym ciekawym miejscem, w którym te 3 adresy występują wspólnie, jest log kanału IRC #bitcoin na serwerze sieci Freenode, gdzie dwóch użytkowników ukrywających się pod pseudonimami momo oraz MaxSan korzystało z akurat tych adresów tuż przed rozpoczęciem opisywanej powyżej kampanii:

Może to być po prostu zbieg okoliczności. W trakcie trwania kampanii adresy te nie były używane przez osoby wchodzące na ten kanał.

Samo złośliwe oprogramowanie użyte w ataku może być powiązane z kilkoma znanymi polskimi produkcjami, ale to już wątek na inną historię.

Dziękujemy Damianowi, Maćkowi, Oldze i Marcinowi za podesłane próbki oraz Łukaszowi i Mariuszowi za pomoc w analizie problemu.