Uwaga na nowy atak fiat126pteam, celem polskie firmy

dodał 10 września 2015 o 13:32 w kategorii Złośniki  z tagami:
Uwaga na nowy atak fiat126pteam, celem polskie firmy

Od wczoraj trwa nowy atak na internautów, mający wszelkie znamiona podobieństwa do znanej już kampanii fiat126pteam przeciwko kancelariom prawniczym. Tym razem wiadomość przestępców dociera do firm w całej Polsce.

Najnowszy atak jest niezwykle podobny do opisywanej przez nas kampanii przeciwko kancelariom – wykorzystuje identyczne metody zwodzenia internautów i podobny poziom staranności w tworzeniu fałszywej historii. Jest jednak jeszcze bardziej niebezpieczny, ponieważ przestępcy prawdopodobnie wykorzystują wiedzę o wcześniejszych relacjach biznesowych firm, które atakują.

Sprytny atak, małe zmiany

Atak zaczyna się od wiadomości poczty elektronicznej. Do tej pory zidentyfikowaliśmy dwa formaty listów. Przykład pierwszy, który trafił do zakładu wodociągowego oraz innej firmy (w wiadomości do firmy inna była nazwa przedsiębiorstwa, z którego fakturami jest rzekomy problem):

Od: DapUnited <agata.molenda@dapunited.eu>
Data: 2015-09-09 13:22
Temat: Prośba o korektę w fakturzę od P.Melioracyjne – Pruszcz

Szanowni Państwo,
Piszę do Państwa w sprawie Przedsiębiorstwa Melioracyjnego Sp. z o.o. w Pruszczu Gdańskim – na naszą firmową skrzynkę trafiają faktury wraz z Państwa adresem poczty elektronicznej i danymi firmowymi/osobowymi. Faktura jest już prawdopodobnie nieaktualna jednakże z racji, iż zawsze staramy się utrzymywać należyty porządek w dokumentacji proszę o weryfikację. Na fakturze znajduję się się szczegółowe dane za co była wystawiona i kto podpisał odbiór. Jeśli są poprawne wystarczy wiadomość zwrotna z taką informacją, jeśli nie – proszę wskazać gdzie leży problem i zajmiemy się tym po naszej stronie. Dokument jest ważny przy corocznych rozliczeniach podatkowych przez 5 lat, stąd też nasze zapytanie.
Faktura w formacie dokumentu dostępna tylko dla Państwa w naszej chmurze plików.
http://doc.onlineviewer.eu/?fname=dapunited_biuro_korekta.doc

Przepraszam za wszelkie kłopoty, liczę na Państwa odpowiedź.
Z poważaniem,
Agata Molenda
Asystent Działu Księgowego

Przykład drugi, który trafił do małej firmy komputerowej:

Od: DapUnited <agata.molenda@dapunited.eu>
Data: 2015-10-10 10:48
Temat: Nieprawidłowości w księgowości Axl Sp. z o.o. – wezwanie do potwierdzenia

Szanowni Państwo,

Przeprowadzamy audyt w celach reaktywacji usług świadczonych przez agencję AXL Sp. z.o.o. W latach poprzednich byli Państwo jednymi z klientów rzeczonej spółki. Podczas audytu odkryliśmy nieznaczne nieprawidłowości w zaksięgowanych fakturach. Nieprawidłowości te mogą wpływać na Państwa sytuację w Urzędzie Skarbowym z racji konieczności rozliczeń płatności przez 5 lat następujących po wykonaniu usługi.

W związku z tym prosimy o niezwłoczne potwierdzenie poprawności dokumentu wystawionego dla Państwa w poprzednim terminie, w wypadku niedopłaty (w większości przypadków) wystąpimy o konieczność uregulowania rachunku. W wypadku zwrotu, wykonamy takowy w ciągu bieżącego miesiąca.

Sytuacja jest bardzo pilna z racji kończącego się okresu składania zeznań dla płatnika. W wypadku braku odpowiedzi będziemy zmuszeni odnotować to w dokumentacji.

Dokument w formie elektronicznej faktury znajdą Państwo pod adresem

http://doc.onlineviewer.eu/?fname=dapunited_biuro_korekta.doc

Prosimy o wiadomość zwrotną po zapoznaniu się z dokumentem.

Z poważaniem,
Agata Molenda
Dział Księgowości Firmowej
DapUnited.eu

Uwaga!
Z otrzymanych przez nas informacji wynika, że w licznych przypadkach firmy odbiorcy wiadomości oraz firmy, których faktury rzekomo należy skorygować, były powiązane wcześniejszą korespondencją lub współpracą. Oznacza to, że przestępcy zapoznali się z zawartością skrzynek pocztowych firm których nazwy występują w wiadomościach lub odbiorców tych wiadomości. Wszystkim odbiorcom oraz firmom wymienionym w korespondencji zalecamy natychmiastową zmianę haseł do skrzynek pocztowych.

Aktualizacja 14:40
Wszystko wskazuje na to, że jeden z wariantów kampanii otrzymują wszystkie firmy, które wymieniły kiedyś korespondencję biznesową z Przedsiębiorstwem Melioracyjnym w Pruszczu Gdańskim.

W odróżnieniu od poprzedniej kampanii, gdzie najpierw następowała wymiana wiadomości, tutaj od razu w treści zamieszczono link do strony atakującego. Po kliknięciu otwiera się strona identycznie jak poprzednio udająca ładujący się dokument MS Office. Również i w tym wypadku ładowanie kończy się „błędem”.

"Błąd" MS Office

„Błąd” MS Office

Co ciekawe, autor ataku zmienił fałszywy numer błędu – obecnie jest to 000113xFA (wcześniej było to 000109xFA). Naciśniecie guzika Aktualizuj powoduje pobranie pliku wykonywalnego:

Sam plik udaje proces instalatora (a wręcz jest instalatorem, ponieważ zawiera oryginalną wtyczkę Microsoftu w wariantach EXE, CAB i MSI) oraz instaluje dodatkowy plik get_ver.exe ze złośliwym oprogramowaniem. Jak zwykle na analizę złośliwego pliku trzeba trochę poczekać, tymczasem przyjrzyjmy się infrastrukturze użytej w ataku.

Aktualizacja 15:30 Atakujący usunął już mechanizmy infekcji z serwerów. Obecnie zamiast złośliwego pliku serwer wysyła niegroźny plik, który jest kopią kalkulatora Windows. Prosimy jednak go nie uruchamiać, bo wysyłany plik może być w każdej chwili zmodyfikowany.

Wyjątkowa troska o szczegóły

Nie da się ukryć, że atak ten i towarzysząca mu historia zostały przygotowane z dużą starannością. Treść wiadomości jest napisana bardzo poprawnym językiem a pod adresem domeny nadawcy dapunited.eu znajdziemy taką oto stronę:

Strona firmy księgowej

Strona firmy księgowej

Jako że wiadomość dotyczy przychodzących faktur, to w domenie nadawcy widać ofertę firmy prowadzącej księgowość. Brzmi sensownie. Z kolei pod adresem microsoft.autoupdate.eu, z którego pobierany jest złośliwy plik, znajdziemy taką witrynę:

Kolejna witryna atakującego

Kolejna witryna atakującego

Wygląda jednak, ze atakujący zapomniał o stronie, z której można „pobrać” dokument DOC:

Rosyjskie powitanie

Rosyjskie powitanie

Identycznie jak w poprzednim ataku i tu wita nas język rosyjski.

Spójrzmy teraz na domeny użyte w ataku. Identycznie jak poprzednim razem wszystkie mają adresy .EU:

  • dapunited.eu: zarejestrowana 30 sierpnia 2015 o godzinie 14:15 przez użytkownika który podał adres dapunited@englandmail.com i przypisana do maszyny 108.175.157.36 w amerykańskiej serwerowni,
  • onlineviewer.eu: zarejestrowana 7 września o godzinie 8:08 przez użytkownika który podał adres estpol@europe.com i przypisana do maszyny 155.94.71.125 w innej amerykańskiej serwerowni,
  • autoupdate.eu: zarejestrowana 7 września o godzinie 11:01 przez użytkownika który podał adres pet.suchy@europe.com  i przypisana do maszyny 185.34.40.33 w holenderskiej serwerowni.

Kilka słów o plikach

Jak do tej pory natrafiliśmy na ślady dwóch trzech różnych wersji pliku serwowanego przez przestępców. Wersja pierwsza:

  • pierwsze zgłoszenie 2015-09-10 05:21
  • MD5: f9780af721d0cb59a7f4d6d338a7e484
  • SHA1: bc1537d59c890901daff8f785c5cd7f7ec9376fd
  • analiza VirusTotal (wykrywany jedynie przez 5 antywirusów)

Wersja druga:

Wersja trzecia:

Złośliwy plik wykrywa uruchomienie w środowisku wirtualnym, zatem musimy jeszcze poczekać na wyniki jego analizy.

Podsumowanie

W naszej ocenie autorem kampanii są ci sami przestępcy, co w przypadku ataku na kancelarie. Świadczą o tym następujące podobieństwa:

  • identyczny sposób komunikacji z ofiarą,
  • wiadomości są wysyłane przez systemy tego samego usługodawcy (MailJet)
  • identyczna metoda nakłonienia do pobrania złośliwego pliku,
  • identyczny sposób tworzenia złośliwego pliku (oficjalny instalator + złośliwy kod),
  • identyczny sposób rejestrowania domen (kilka dni przez atakiem, adresy email z serwisu mail.com),
  • identyczna troska o wiarygodność stron WWW (na pierwszy rzut oka bez zarzutu, dopiero wewnętrzne linki nie działają),
  • wykorzystanie bardzo podobnej infrastruktury (każdy element na innym serwerze, wątek rosyjski).

Główną nowością w tej kampanii jest prawdopodobne wykorzystanie wcześniejszych relacji biznesowych pomiędzy firmami w celu podniesienia wiarygodności oszustwa. Oczywiście istnieje taka możliwość, że ktoś skopiował działanie fiat126pteam, ale wydaje się nam to bardzo pracochłonne i bez uzasadnienia ekonomicznego. Znacznie bardziej prawdopodobne jest wykorzystanie istniejących już metod i narzędzi ataku do przejęcia kontroli nad komputerami innej grupy docelowej.

Dziękujemy osobom, które podesłały nam informacje na temat tego ataku. Prosimy o kontakt, jeśli natraficie na podobne wiadomości.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside