Uwaga na nową kampanię malware „Platnosc w systemie Dotpay”

dodał 21 listopada 2017 o 09:29 w kategorii Złośniki  z tagami:
Uwaga na nową kampanię malware „Platnosc w systemie Dotpay”

Od wczoraj obserwujemy nową falę wiadomości ze złośliwym załącznikiem, tym razem podszywających się pod markę Dotpay. Kliknięcie w załącznik poskutkuje zaszyfrowaniem komputera, dlatego warto ostrzec znajomych.

Od ponad miesiąca nie widzieliśmy żadnej nowej kampanii najbardziej płodnego polskiego autora ataków emailowych. Czekaliśmy, czekaliśmy aż się doczekaliśmy – od wczoraj trwa nowa fala wysyłek, które opisujemy poniżej.

Platnosc w systemie Dotpay

Otrzymaliśmy kilka próbek ataków, dzięki czemu możemy stwierdzić, że ich autor tym razem spróbował trochę innej strategii. Co prawda większość elementów kampanii jest taka sama jak zawsze, lecz tematy i treść wiadomości ulegają drobnym modyfikacjom. Wiadomość wygląda tak:

Zarówno numer transakcji znajdujący się w temacie wiadomości jak i kwota transakcji różni się pomiędzy próbkami. Wczoraj email wskazywał datę 20 listopada z taką samą godziną, dzisiaj data została przesunięta o 24 godziny do przodu. To ciekawy błąd ze strony atakującego, ponieważ w obu przypadkach godzina transakcji wskazywała przyszłość w momencie otrzymania emaila przez odbiorcę. Dzisiejsza wiadomość ma polskie znaki prawie wszędzie (oprócz „Wplata online” i nazwy załącznika), wczorajsza była prawie w całości polskich znaków pozbawiona.

Aspekty techniczne

Wiadomość jest – jak zawsze – wysłana z serwerów nazwa.pl

Załącznik to plik archiwum

W pliku znajduje się folder

w którym umieszczony jest plik

Początek pliku wygląda tak:

Po odciemnieniu dostajemy polecenie PowerShella:

Zdekodowanie base64 daje

W drugim obserwowanym wariancie otrzymujemy

Oba pliki EXE są identyczne i jest to ransomware Flotera (VT, HA). Używa on serwera

ukrytego za Cloudflare. Autor ransomware prosi o kontakt pod adresami email Hc9@2.pl lub Hc9@goat.si.

Użyte domeny:

  • faashionelka.pl, zarejestrowana 2017.11.20 21:04:20 za pośrednictwem NetArt, schowana za Cloudflare
  • plaamkaa.eu, zarejestrowana 2017.11.19 za pośrednictwem NetArt, schowana za Cloudflare
  • tenor.com.pl stara domena, prawdopodobnie zhakowana.
Podziękowanie i prośba
Dziękujemy wszystkim nadsyłającym próbki. Pamiętajcie, że jeśli dostajecie podejrzane wiadomości, zawsze możecie je odpowiednio zapisać i podrzucić je nam do analizy.