Uwaga na nową kampanię malware – elektroniczna faktura od Wizzair

dodał 31 grudnia 2017 o 17:08 w kategorii Złośniki  z tagami:
Uwaga na nową kampanię malware – elektroniczna faktura od Wizzair

Rok zmierza ku końcowi, a targety trzeba zrealizować. Najwyraźniej notorycznemu autorowi kampanii ransomware zabrakło kilkuset dolarów do udanej imprezy sylwestrowej i postanowił w ostatniej chwili je zarobić.

Do polskich skrzynek zaczęły w nocy trafiać wiadomości podszywające się pod Wizzair i zawierające złośliwe oprogramowanie. Co ciekawe, autor fajtłapa w pierwszej wersji pomylił się tworząc załącznik i złośliwy kod nie działał. Niestety wkrótce potem w świat ruszyła druga, działająca wersja. Jeśli ktoś da się złapać na ten atak, to jego pliki zostaną zaszyfrowane.

Faktura elektroniczna za rezerwację Wizz Air

Złośliwa wiadomość nie ma polskich znaków i wygląda następująco:

Szanowny Kliencie,
Dziekujemy za wybranie linii lotniczych Wizz Air.
Zalaczamy fakture elektroniczna za Twoja rezerwacje.
Ta faktura jest oryginalna faktura w formacie elektronicznym wystawiona przez firme Wizz Air Hungary Ltd. w momencie dokonania rezerwacji, zgodnie z odpowiednim obowiazujacym ustawodawstwem wegierskim.[…]

W załączniku w pierwszej wersji znajdował się plik

który po otwarciu wyglądał następująco:

Analiza osadzonego obiektu OLE (z ikoną udającą plik DOC) pokazuje, że autor kombinował z wykonaniem skryptu po dwukrotnym kliknięciu w obiekt – ale skrypt odwołuje się do pliku SVG, którego raczej nie ma na dysku ofiary, stąd po kliknięciu nic się nie dzieje. Ten wariant kampanii wkrótce został wyłączony i autor przełączył wysyłkę na wersję z załącznikiem o nazwie

który tak naprawdę jest plikiem RAR, zawierającym skrypt wykonujący polecenia PowerShella, pobierające i uruchamiające plik:

Plik ten to znany nam świetnie ransomware Flotera, szyfrujący pliki ofiary.

Kilka informacji technicznych

Emaile wysyłane są z serwera:

Serwery / domeny używane przez przestępcę:

Co ciekawe obie domeny zostały zarejestrowane już 13 grudnia 2017, a szczegóły rejestracji jednej z nich sugerują, ze mogła być używana także we wcześniejszych atakach, podszywających się pod firmę Energa. Jeśli macie ich kopie – podzielcie się z nami.

Sumy kontrolne plików:

Dziękujemy Czytelnikom nadsyłającym próbki i analitykom pomagającym w ich analizie.

Lokowanie produktu

Przed takimi (i wieloma innymi) atakami ostrzegamy na naszych szkoleniach podnoszących świadomość pracowników. Zamów nasze szkolenie, a obiecujemy, że pracownicy będą za nie wdzięczni.

Security Awareness - szkolenie dla personelu