Uwaga na nowy atak ze sprytną sztuczką – „Wezwanie do zawarcia ugody”

dodał 10 stycznia 2018 o 09:51 w kategorii Socjo, Złośniki  z tagami:
Uwaga na nowy atak ze sprytną sztuczką – „Wezwanie do zawarcia ugody”

Do skrzynek polskich firm od paru godzin trafia nowa kampania złośliwego oprogramowania, które niesie ze sobą popularne ransomware Vortex. Autor kampanii użył pewnej rzadko spotykanej sztuczki – warto ostrzec użytkowników.

Kampania jest kolejna odsłoną ataków obserwowanych przez nas od lat i stoi za nią świetnie nam znany przestępca Thomas. Używa tej samej infrastruktury co zwykle i jako jedyny wysyła do swoich ofiar tę właśnie rodzinę ransomware.

Wezwanie do zawarcia ugody

Nadawca wiadomości podszywa się pod adwokata, a sama wiadomość tak:

Treść wiadomości:

Witam Serdecznie
Działając w imieniu mojego mocodawcy.
W załączeniu przesyłam przedsądowe wezwanie do zawarcia ugody.
Adwokat
Wojciech Wilgierz

Na zrzucie ekranu widzicie ikonę pliku PDF – jednak wiadomość nie ma żadnego załącznika. To dość sprytna sztuczka, gdzie w treści wiadomości wstawiono plik graficzny pokazujący ikonę, a z nim powiązano link do strony WWW, która serwuje dalszy ciąg ataku. Jeśli zatem ktoś kliknie w „plik PDF” to niespodziewanie otrzyma złośliwy plik JS.

Proces infekcji

Link z emaila ukryty pod obrazkiem prowadzi do witryny:

http://edokumenty-wfirma.pl/

Tam użytkownik zostaje przekierowany do

https://dropbox.com/s/yd1vr2yoa81p4gl/Wezwanie%20do%20zawarcia%20Ugody_PDF.js?dl=1

Plik JS uruchamia Powershella, który z kolei pobiera plik

http://huntersofgods.cba.pl/wp-local/1001.exe

To ransomware Vortex – jego najważniejsze cechy:

SHA256: a980095311d005a23796358a815150f1e1d239617c7d477d8f8ca0b5dba8a15d
C&C: wfirma.eu
Adresy email: vortex@deszyfracja.int.pl, Hc9@goat.si

Wiadomości z atakiem wysyłane są jak zawsze z serwerów Nazwa.pl:

Received: from anb163.rev.netart.pl ([85.128.210.163])

Domeny zarejestrowane wczoraj przez Nazwa.pl:

wfirma.eu to 31.41.216.78
edokumenty-wfirma.pl to aktualnie 85.128.134.236, ale była już na innych adresach

Przekażcie użytkownikom, by nie dali się złapać na tę sztuczkę przestępcy.

Dziękujemy wszystkim Czytelnikom, którzy podesłali próbki.