Uwaga na nowy, sprytny atak na polskich internautów

dodał 25 sierpnia 2015 o 08:02 w kategorii Info, Złośniki  z tagami:
Uwaga na nowy, sprytny atak na polskich internautów

Mieliśmy wczoraj okazję pomóc użytkownikowi, który dostał podejrzaną wiadomość. Inaczej niż tysiące innych internautów, zamiast ślepo klikać w linki, wiedziony intuicją zadzwonił do nas i okazało się, że trafił na nieznany przykład ataku.

Opisywany poniżej atak ma dopiero kilka dni i nie natrafiliśmy nań ani na jego opis nigdzie indziej. Wygląda na to, że grupa docelowa jest do tej pory mocno ograniczona. W naszym przypadku była to kancelaria prawnicza, ale wszystkim radzimy uważać na fałszywe wtyczki Microsoft Office, bo są dość przekonujące.

Świetnie przygotowany atak

Nasz bohater dnia prowadzi kancelarię prawną (taką prawdziwą, a nie rozsyłającą internautom wezwania do zapłaty). W środę na skrzynkę kontaktową jego kancelarii dotarła wiadomość o temacie Pytanie o współpracę i zakres działalności? . Treść wyglądała następująco:

Witam,

Piszę do Państwa w sprawie uzyskania informacji na temat obsługi dopiero co powstającego oddziału terenowego w Polsce naszej firmy. Powierzono mi zadanie zebrania informacji oraz nawiązania kontaktu z potencjalnymi współpracownikami dla naszego przedsiębiorstwa. Kontakt znalazłem za pośrednictwem sieci, interesuje mnie na tym etapie wstępna informacja co do zakresu oraz cen Państwa usług. Czy istnieje pewnego rodzaju „Cennik Firmowy”, który mogą Państwo przedstawić?

Jeśli będzie potrzeba informacji z naszej strony z przyjemnością dostarczę dokument ze szczegółowym opisem w języku polskim wymagań/zaleceń postawionych przez firmę. Tymczasem, mógłbym uzyskać od Państwa pełen zakres świadczonych usług? Sprawa dotyczy przedsiębiorstwa gospodarczego na terenie Rzeczpospolitej.

Czekam na Państwa odpowiedź oraz liczę na owocną współpracę.

Pozdrawiam,
Marek Błaszczyk
Koordynator Techniczny w Polsce
EuroLogistic
Courtensdreef 339, 4040 Herstal
polska@eurologistic.be
+0471 55 84 19
+0471 55 84 22

Wiadomość nie wzbudziła żadnych podejrzeń. Adwokat odpisał wyjaśniając zakres usług kancelarii i przesyłając kilka pytań. W piątek otrzymał kolejną wiadomość, o temacie Eurologistic, szczegóły współpracy dla Kancelarii?  i następującej treści:

Witam ponownie,

Na wstępie chciałbym przeprosić za wydłużony czas odpowiedzi, jesteśmy jeszcze w fazie organizacyjnej spółki. Kieruję do Państwa wiadomość już z osobistej skrzynki, aby utrzymywać korespondencję w jednym miejscu.

Dziękuje za kontakt i postaram się rzucić trochę więcej światła na rodzaj/zakres usług którymi nasza firma jest zainteresowana.

Polska filia jest spółką-córką belgijskiego przedsiębiorstwa. Jesteśmy zarejestrowanymi płatnikami VAT na terenie Polski jak i UE.
Usług z zakresu doradztwa prawnego dla podmiotu gospodarczego poszukujemy na terenie Polski w następujących celach:
– organizacji pracowniczej (umów cywilnoprawnych)
– negocjowania, opiniowania oraz przygotowania umów gospodarczych (szczególnie z nowymi kontrahentami)
– ewentualna windykacja należności, ochrona przed nierzetelnością klientów
– reprezentacja procesowa w wypadku zajścia takiej potrzeby
– ewentualna pomoc przy rozbudowie struktur firmowych (nieruchomości)

Firma ma charakter przedsiębiorstwa spedycyjnego/logistycznego, jednakże zarząd prowadzi działania dywersyfikacyjne, zatem pod szyldem
jednej spółki działa również i gałąź opierająca się na sprzedaży hurtowej (głównie artykułów żywieniowych). Aktualnie spółka zatrudnia na terenie EU (z wyłączeniem Polski) blisko 300 stałych pracowników oraz 100 pracowników okresowych. Docelowo zatrudniając na terenie operacyjnym (Państwa) średnio około 40-50 pracowników z różnych branży, o różnym zakresie obowiązków.

Rozumiem, że dalej są to ogólne informację, wystąpiłem jednak z prośbą do centralnego biura obsługi z udostępnieniem szczegółowego rozpisu zadań (aktualnych oraz nadchodzących) dla Państwa kancelarii, załączona jest tam również umowa wstępna, która oczywiście może podlegać negocjacji. Uwzględniłem informację otrzymaną od Państwa i w odpowiedzi również dodano do dokumentu nasze oczekiwania co do kosztów współpracy, niezależnie czy będzie ona przebiegać na zasadach okresowych lub też podpisania stałego kontraktu.

Plik podpisany jest cyfrowo i tylko do wglądu dla Państwa.

http://docs.logisticservers.eu/?fname=polska_filia_eurologistic_uslugi_wymagania.doc

Proszę o zapoznanie się z dokumentem, niezależnie od czasu który potrzebują Państwo na przedstawienie oferty pozostaję do dyspozycji. Odpowiedź jednak może się wydłużyć o okres kilku dni z racji urlopu pracowniczego.

Z poważaniem,
Marek Błaszczyk

Adwokat, zauważywszy link do pliku, zamiast po prostu w niego kliknąć postanowił zasięgnąć w tej sprawie języka i trafiło na nas. W piątek nie mogliśmy się sprawą zająć, dlatego czekała do poniedziałku. To, co znaleźliśmy, całkiem nas zaskoczyło.

Kreatywność 10/10

Otwarcie linka z wiadomości prowadzi użytkownika na częściowo znajomo wyglądającą stronę. Ktoś rozpoznaje nagłówek?

Pierwszy etap

Pierwszy etap

Wygląda trochę jak wbudowany czytnik PDFów, prawda? Po chwili pojawia się kolejny ekran:

Etap drugi

Etap drugi

Ten ekran także pewnie spora część z Was zna – ładuje się dokument Office. Procenty się zmieniają, kroki także. Aż dochodzimy do pierwszej kulminacji:

Etap trzeci

Etap trzeci

Jak już pewnie się domyślacie, kliknięcie w guzik „Napraw” przenosi nas do pobierania pliku EXE. Jego adres to:

Plik WcPlugin.exe jest zdecydowanie złośliwy – ale o tym trochę później.

Co wiemy o infrastrukturze atakującego

Próba weryfikacji firmy, od której przychodzi zapytanie, prowadzi na witrynę eurologistic.be, która wita takim oto serwisem:

Witryna eurologistic.eu

Witryna eurologistic.eu

Dane kontaktowe podane w serwisie zgadzają się z danymi z emaila, choć linki do Twittera czy Goldenline nie działają. Wiadomości poczty elektronicznej od których zaczyna się ta historia zostały wysłane z adresów konsultant@eurologistic.be i m.blaszczyk@eurologistic.be za pomocą dwóch serwisów obsługujących masowe wysyłki – MailChimp (pierwsza) oraz MailJet (druga). Oba serwisy mają wpisy SPF w rekordzie DNS domeny. Serwer eurologistic.be nawet udostępnia interfejs listy dystrybucyjnej opartej na phpList, dzięki której można się wypisać z kolejnych przesyłek.

Domena eurologistic.be została zarejestrowana 16 sierpnia 2015 o godzinie 14:47 przez użytkownika który podał adres janus.tarvos@programmer.net i przypisana jest do maszyny 94.249.147.76 w brytyjskiej serwerowni. Z tego samego serwera został wysłany pierwszy email.

Domena logisticservers.eu (hosting strony z „dokumentem”) została założona 19 sierpnia 2015 (ostatnia modyfikacja o godzinie 9:57) przez użytkownika który podał adres daniel.rembrant@usa.com, przypisana jest do maszyny 185.61.148.226 w łotewskiej serwerowni. Można znaleźć jej powiązanie z domena sachermasoch.ru o nieco dłuższej historii:

sachermasoch.ru

sachermasoch.ru

Domena microsoftcenter.eu (hosting pliku EXE) została zarejestrowana 19 sierpnia 2015 (ostatnia modyfikacja o godzinie 10:39) przez użytkownika który podał adres dennis.w4@post.com i przypisana jest do maszyny 67.227.164.121 w amerykańskiej serwerowni.

Domena cannedgood.eu (serwer do którego łączy się złośliwy plik EXE) została zarejestrowana 11 sierpnia 2015 (ostatnia modyfikacja o godzinie 15:08) przez użytkownika który podał adres steven.tdtb@mail.com i przypisana jest do maszyny 185.53.130.200 w holenderskiej serwerowni.

Nikt nie widział, nikt nic nie wie

Kiedy próbowaliśmy znaleźć ślady wcześniejszego złośliwego użycia tej infrastruktury, podobnych wiadomości, metod infekcji czy też analogicznych plików EXE natrafialiśmy na pustkę lub nikłe ślady.

Wygląda na to, że plik z tego samego adresu WcPlugin.exe został pierwszy raz zgłoszony do serwisu VirusTotal 22 sierpnia, brak jednak jego analizy. Drugi raz trafił tam 23go sierpnia:

Plik znaleziony przez nas w poniedziałek nie był wcześniej wysyłany do VirusTotala i był rozpoznawany jedynie przez 5/56 antywirusów.

We wtorek udało nam się otrzymać kolejną wersję, która rozpoznawana jest przez 6 z 56 antywirusów.

Udało się nam także natrafić na informację mówiącą, że serwer 94.249.147.76 w lipcu hostował witrynę phishingową http://secure.mojepayu.com, jednak brak innego powiązania z opisywanym powyżej atakiem. Google nie znajduje także żadnych śladów po wklejonych powyżej emailach ani komunikatów wyświetlanych w procesie infekcji. Jeśli widzieliście już ten atak – dajcie znać.

Wstępne podsumowanie

Trzeba przyznać atakującemu, że wykonał kawał roboty. Na potrzeby tej kampanii zarejestrował kilka nie powiązanych ze sobą domen, które umieścił w różnych serwerowniach na całym świecie. Stworzył wiadomości poczty elektronicznej, dbając o ich adekwatność i wiarygodność w oczach odbiorców (nasz adwokat nie widział w nich niczego odbiegającego od normy). Posługiwał się w korespondencji dość fachowym językiem. Serwery skonfigurował tak, by zmaksymalizować prawdopodobieństwo, że jego wiadomość dotrze do odbiorcy. Kampanię prowadzi po cichu – nigdzie w sieci nie widać do tej pory jej śladów.

Sam plik EXE też jest dość niecodzienny – jest standardowym instalatorem InstallShield, który zostawia na komputerze ofiary wtyczkę Microsoft Office do Firefoksa oraz oczywiście dodatkowe elementy. Te niezamawiane pliki bardzo starają się przeszkodzić w ich analizie, zatem na drugą część wpisu będziecie musieli jeszcze trochę poczekać. Tymczasem pamiętajcie by nas poinformować, jeśli gdzieś natraficie na podobną próbę ataku.

A co robić jeśli ktoś kliknął i pobrał oraz uruchomił opisywany plik?

Nie wiemy jeszcze, jakie było zadanie złośnika, zatem proponujemy następujące działania:

  • odłączenie komputera od sieci,
  • skopiowanie ważnych plików,
  • format dysku,
  • reinstalację systemu,
  • zmianę wszystkich haseł do wszystkiego,
  • sprawdzenie historii rachunków bankowych,
  • poinformowanie klientów których dane znajdowały się w poczcie i na dysku,
  • oszacowanie co najgorszego można zrobić zakładając, że ktoś ma kopię plików i poczty kancelarii oraz miał dostęp do wszystkich serwisów do których ma kancelaria.

Aktualizacja 2015-08-25 11:22

Wiemy już o co najmniej 4 innych przypadkach ataków na kancelarie prawnicze. Najstarszy z nich miał miejsce już 17 sierpnia ok. godziny 17. Wszystkie wiadomości wyglądają identycznie.

Z adresu http://update.microsoftcenter.eu/download/WcPlugin.exe zniknął plik z koniem trojańskim, a na stronie głównej pojawił się wpis o treści:

POkemon znajdz je wszystkie

Dziekuje za poswiecenie Waszego czasu no ale chlopaki! teraz to dopiero bedzie wysyp tego scierwa

Pod spodem miał być obrazek małego fiata, ale autorowi się palec omsknął i obrazek się nie wyświetla. Z kolei w miejscu z którego serwowany był dokument znajduje się obecnie tekst:

Oj tam, oj tam, w cale to nie bylo takie wymyslne, juz nie przezywajmy.

Dzieki Adamie za tygodnie mojej pracy w pizdu. Restart.

Kliknij Alt+F4 aby zobaczyc ukryta tresc!

Fiat126pTeam

Przykładowy plik WcPlugin.exe wraz z jego analizą można pobrać z serwisu hybrid-analysis.com. Autora ataku tradycyjnie zapraszamy do udzielenia wywiadu – kontakt dowolną wybraną metodą.

Aktualizacja 2015-08-27

Dostępna jest już analiza złośliwego oprogramowania użytego w ataku – opis w serwisie CERT Polska.

Jeśli interesuje Was podniesienie świadomości pracowników w celu lepszej ochrony przed takimi atakami, to rzućcie okiem na usługę SecurityInside