Uwaga na nowy atak wykorzystujący najnowszą sztuczkę z Wordem

dodał 14 października 2017 o 22:42 w kategorii Złośniki  z tagami:
Uwaga na nowy atak wykorzystujący najnowszą sztuczkę z Wordem

Seria ataków na prawników trwa od kilku dni, ale ten jest inny od pozostałych, ponieważ wykorzystuje odkrytą dosłownie kilka dni temu sztuczkę w Wordzie, pozwalającą na uruchomienie kodu bez użycia makro.

Jesteśmy naprawdę pod wrażeniem tempa adopcji nowinek ze świata cyberprzestepców na naszym lokalnym rynku. Zaledwie pięć dni temu opisano metodę wykonania kodu w dokumencie Microsoft Word, a już dzisiaj w nasze ręce trafiła próbka naszego ulubionego polskiego hakera, Tomka, która wykorzystuje tę sztuczkę.

Wezwanie do zaniechania czynów nieuczciwej konkurencji oraz naruszających dobra osobiste

Tomek zazwyczaj swoje emaile opiera o wykradzione wiadomości z cudzych skrzynek i zapewne podobnie jest także teraz. Wiadomość ma temat „Wezwanie do zaniechania czynów nieuczciwej konkurencji oraz naruszających dobra osobiste” i wygląda tak:

Nadawca podszywa się pod istniejącą kancelarię i tradycyjnie, jak w poprzednich 20 czy 30 kampaniach, nadana jest z serwerów Nazwa.pl:

W załączniku do wiadomości znajduje się plik Wezwanie 14_11_2017.doc, który niestety nie jest wykrywany jako złośliwy przez programy antywirusowe. Co więcej, nie jest to tradycyjny złośliwy plik proszący o uruchomienie makro (Włącz zawartość). Okna dialogowe wyglądają zupełnie inaczej i Wasi pracownicy pewnie ich jeszcze nie widzieli. Pokażcie im poniższe ekrany i ostrzeżcie przed trwającymi atakami.

Kto by nie chciał zaktualizować dokumentu?

Tak wygląda przebieg ataku, a w środku dokumentu znajdziecie po prostu ciąg:

Pod adresem pobieranym i wykonywanym w przypadku gdy użytkownik kliknie w zły guzik znajduje się następujący kod:

Po zdekodowaniu najważniejszego fragmentu otrzymujemy:

a w pliku s50.exe znajdziemy ransomware Vortex / Flotera – podpis Tomka (wariant z adresami Hc9@2.pl lub Hc9@goat.si). Na szczęście kilka przyzwoitych antywirusów już wykrywa ten egzemplarz.

Ostrzeżcie znajomych i pracowników

Rzadko się zdarza, by w atakach na skrzynki Polaków pojawiło się coś nowego. Zapewne praktycznie każdy odbiorca opisanego powyżej emaila takie okna dialogowe w Wordzie zobaczy pierwszy raz w życiu. Warto by wiedział, że nie powinien klikać, tylko zamykać.

Właśnie przed takimi atakami ostrzegamy na naszych szkoleniach, gdzie pokazujemy tylko realne zagrożenia, na które trafiali w ostatnich miesiącach pracownicy polskich firm. Jedną z próbek tego ataku otrzymaliśmy własnie od uczestnika naszego szkolenia, który prawidłowo rozpoznał podstęp złoczyńców („bo pan Adam mówił, żeby w otwartym dokumencie w nic nie klikać bo może kryć się zło”). Chętnie pokażemy w Waszej firmie kilkadziesiąt prawdziwych ataków (również ten, bo właśnie dodajemy slajdy).

Security Awareness - szkolenie dla personelu

Podziękowania dla Krystiana i Marcina, którzy podesłali próbki.

IOC: