Uwaga na nowy, nietypowy atak udający faktury Orange

dodał 2 października 2015 o 11:44 w kategorii Główna, Złośniki  z tagami:
Uwaga na nowy, nietypowy atak udający faktury Orange

Do skrzynek Polaków trafia własnie nowy atak, podszywający się pod firmę Orange. Przestępcy skorzystali tym razem z innej niż poprzednio metody doręczenia złośliwego oprogramowania, zatem warto ostrzec użytkowników.

Mieliśmy już fałszywe wtyczki Office, mieliśmy pliki faktura.pdf.scr, ale pierwszy raz widzimy atak, który łączy te dwa elementy. Albo ktoś uczy się od fiat126pteam, albo to nowa akcja tej grupy.

Fałszywa strona Adobe, własna domena

Fałszywa wiadomość

Fałszywa wiadomość

Witamy,

Przypominamy, ze uplynal termin platnosci e-faktury za uslugi stacjonarne Orange. Zaleglosci z tytulu nieuregulowanych oplat dotycza:

Numer faktury

FWL90599170/001/15

Numer ewidencyjny Klienta

541 290 5991 7053

Kwota do zaplaty

107,15 PLN

Termin platnosci

2015-08-20

Szczególowe rozliczenie kwoty do zaplaty faktury jest dostepne pod linkiem.

Wygodnie i zawsze w terminie e-fakture mozna oplacic korzystajac z Polecenia Zaplaty lub Platnosci Elektronicznej.

Jezeli faktura zostala juz oplacona prosimy o uznanie tej wiadomosci za nieaktualna.

Wiadomosc zostala wygenerowana automatycznie, prosimy na nia nie odpowiadac.

 Pozdrawiamy
Orange

Wszystkie zaobserwowane przez nas wiadomości są identyczne w każdym calu. Link w treści prowadzi do:

który z kolei przekierowuje obecnie do adresu

Trzeba przyznać, że przestępcy się postarali – 29 września wykupili domenę orange-24.pl i przygotowali ładnego linka.

Pobieranie dokumentu

Na tym nie koniec ataku – w kolejnym etapie widzimy elementy wprowadzone po raz pierwszy przez fiat126pteam, czyli animację ładowania fałszywej wtyczki (tym razem Adobe).

Ładowanie fałszywej wtyczki

Ładowanie fałszywej wtyczki

„Ładowanie” kończy się błędem, a strona automatycznie pobiera na dysk plik FWL9059917000115.scr.

Komunikat o błędzie

Komunikat o błędzie

Strona zawiera także statystyki stats4u (https://www.stats4u.net/live/armi). Co ciekawe, pseudonim użytkownika armi jest bardzo podobny do armi22 – użytkownika usługi bit.ly kojarzonego z serią innych ataków.

Z kolei witryna dokumenty.orange-24.pl umieszczona jest w sieci Home.pl pod adresem  79.96.202.109, który wcześniej używany był w atakach na iPKO.

Złośliwy plik pobierany jest z lokalizacji

Z tego samego serwera można obecnie pobrać także pliki:

  • FWL9059917000115.PDF.zip zawierający tego samego konia trojańskiego, lecz w wersji .PIF
  • efpefpoe.exe, nieznany wcześniej (MD5 61bcd64a1b9cddb58a6d9b20689f318a, VT, HA) – ten z kolei to program kradnący hasła z przeglądarek a jego panel sterowania znajduje się pod adresem
Panel konia trojańskiego

Panel logowania do konia trojańskiego

Złośliwy plik

Kilka informacji na temat pobieranego pliku wykonywalnego:

  • FWL9059917000115.scr
  • MD5 867e199b3a2fda2d3c7b78be8336ffa5
  • Virus Total
  • Malwr.com
  • Hybrid Analysis (najciekawsze)
  • pierwsza obserwacja 2015-10-02 10:06
  • prawdopodobne C&C mivrosof.mooo.com (91.236.116.108 port 1551)

Sama domena mivrosof.mooo.com znana jest ze złośliwego charakteru ze stycznia 2015, choć wtedy wskazywała na inny adres IP. Z kolei adres IP wskazywał w lipcu na domenę dupa.duckdns.org, także powiązaną ze złośliwym oprogramowaniem. Czekamy na analizę samego programu.

Złośliwy program zawiera skrypt AutoIt, którego celem jest odszyfrowanie zapisanego w niej drugiego pliku wykonywalnego. Plik ten jest zaszyfrowany za pomocą algorytmu ARC4. Po odpakowaniu dodawany jest on do autostartu poprzez klucz rejestru systemu Windows (analiza odpakowanego
pliku w serwisie Virus Total, za opis dziękujemy zespołowi CERT.PL).

Podobieństwa

Ta kampania w zaskakująco wielu punktach łączy się ze sprawą karną z 14 września:

  • 79.96.202.109: ten sam serwer jako hosting ataku (dzisiaj) i C&C bota (wtedy) – przejęta usługa hostingowa w Home.pl, już zablokowana
  • wykorzystanie serwera wrzos.net do hostingu pobieranych złośliwych plików
  • zapakowanie właściwego pliku wykonywalnego w skrypty AutoIt
  • użycie zewnętrznych serwisów do zliczania statystyk ataku (wtedy bit.ly, obecnie stat24)
  • podobne pseudonimy w statystykach (armi vs armi22)
  • użycie plików PDF.ZIP w których znajdują się pliki PDF. PIF

Dziękujemy wszystkim, którzy podesłali nam próbki wiadomości. Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside