Uwaga na trzy nowe kampanie złośliwego oprogramowania atakujące Polaków

dodał 21 września 2015 o 21:25 w kategorii Złośniki  z tagami:
Uwaga na trzy nowe kampanie złośliwego oprogramowania atakujące Polaków

Dzisiaj otrzymaliśmy próbki trzech nowych kampanii złośliwego oprogramowania wymierzonych w polskich internautów. Choć wszystkie wiadomości od przestępców wyglądają podobnie, to są między nimi interesujące różnice.

Około południa naszą skrzynkę zaczęły zasypywać wiadomości od Was, zawierające przykłady nowych ataków rozsyłanych na Wasze skrzynki pocztowe. Zebraliśmy wszystkie zgłoszenia i poddaliśmy szybkiej analizie. Sprawdźcie, na co mogli dzisiaj klikać Wasi pracownicy, przyjaciele i znajomi.

Kampania nr 1, czyli wezwanie do zaplaty, KRU

Pierwszy rodzaj wiadomości udawał wezwania do zapłaty od firmy Kruk. Co ciekawe, w temacie była literówka – brak ostatniej litery.

Temat: wezwanie do zaplaty, KRU

Drodzy Panstwo,
Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.
Haslo do zalacznika: wezwanie33


Kruk S.A
ul. Wolowska 8
51-116 Wroclaw

Wygląd wiadomości

Wygląd wiadomości

Do wiadomości załączony był plik windykacja_nr_98338.pdf.7z. Co ciekawe, jest to jeden z niewielu znanych nam przypadków, gdy załącznik nie ma rozszerzenia .ZIP lub .RAR. Prawdopodobnie może to być próba ominięcia automatycznych mechanizmów blokujących te rozszerzenia lub analizujących takie pliki. Ciekawa jest również analiza samego pliku:

  • Nazwa: windykacja_nr_98338.pdf.scr
  • Pierwsze wystąpienie: 2015-09-21 11:19
  • MD5: d610e4650d06cf12babc0491f3e5a7f4
  • SHA1: 56d18e91ce88ce18bbb5aa0d35e9784e0ab2a367
  • VT: analiza
  • HA: analiza i plik do pobrania

Sam plik jest prawdopodobnie tylko dropperem, ponieważ pobiera z sieci kolejne zasoby:

  • GET http://46.151.53.40:80/ares.exe
  • POST http://46.151.53.40:80/bazingamasterchef/gate.php
  • GET http://46.151.53.40:80/bazingamasterchef/fg_98b9acf5.mod
  • GET http://46.151.53.40:80/bazingamasterchef/tv_bc2770cd.mod

Pod adresem 46.151.53.40 znajduje się domena www.wholetdiedogsout.com. Pobrany plik ares.exe:

  • Pierwsze wystąpienie:  2015-09-21 16:31
  • MD5: 4281f3a772ed5de8b629b18ed70caed3
  • SHA1: ee470661cdb383976fc1f5b2839d272913ce1d33
  • VT: analiza
  • HA: analiza i plik do pobrania

Wszystko wskazuje na to, że jest to koń trojański nastawiony na kradzież środków z rachunków bankowych w kilku polskich bankach. Mamy także informacje, że są już pierwsze ofiary jego aktywności. Aktualizacja: to Slave.

Kampania nr 2 (lub 1.5), czyli FS VAT 14_09_2015 lub wezwanie do zaplaty

Prawdopodobnie z pierwszą kampanią mocno związana jest druga przez nas zarejestrowana – chociaż w tej drugiej widzieliśmy inny załącznik do wiadomości. Przykłady treści wiadomości:

Od: Andrzej Zarebski <andrzej.zarebski@akordinkaos.pl>
Data: 21 września 2015 09:56
Temat: wezwanie do zaplaty, przedsadowe!

Drodzy Panstwo,

Ze wzgledu na brak splaty zadluzenia przesylamy przedsadowe wezwanie do zaplaty.

Haslo do zalacznika: wezwanie33


Andrzej Zarebski
AKORD INKASO
ul. Marynarska 14
02-674 Warszawa

Drugi wariant:

From: Andrzej Koszynski [mailto:andrzej.zarebski@koszynski.pl] To:
Subject: FS VAT 14_09_2015

Drodzy Panstwo, w nazwiazaniu do rozmowy telefonicznej z piatku, tj. 18/09,
przesylam fakture VAT do rozliczenia.

Haslo do faktury: zaleglosc


Andrzej Koszynski
AKORD INKASO
ul. Marynarska 14
02-674 Warszawa

W obu przypadkach wiadomościom towarzyszył ten sam załącznik: faktura_N_09_14_09_2015.pdf.7z. Analiza:

  • Nazwa: faktura_N_09_14_09_2015.pdf.scr
  • Pierwsze wystąpienie: 2015-09-21 12:22
  • MD5: 00329a9d0e43238d7dfe9324840b7e2c
  • SHA1: 4fa2c32c0a54ecb02a11e24bfa8aa141270ac1ab
  • VT: analiza
  • HA: analiza i plik do pobrania

Udało nam się zidentyfikować serwer C&C tego konia trojańskiego – znajduje się pod znanym już nam adresem 213.152.161.170 na porcie 3838. Pod tym adresem (należącym do usługi AirVPN) stał też serwer C&C poprzedniej kampanii Roksa, pozwy i faktury. Pozwala to nam sądzić, że i autor mógł być ten sam. Niestety nie mamy informacji o tym, co ostatecznie mogło być zainstalowane na komputerze ofiary. Aktualizacja: złośliwy program to koń trojański Netwire.

Kampania nr 3, czyli protokol odbioru robot

Trzeci wariant wiadomości także okazał się być ciekawy i prawdopodobnie nie jest powiązany z dwoma poprzednimi. Tym razem wiadomość jest jeszcze krótsza i brzmi:

Od: hemailortimed@onet.eu
Temat: Pd: protokol odbioru robot
Data: 09/21/2015 12:40 PM
Protokół odbioru wykonanych robót (do faktury)

W załączeniu znajduje się plik Protokol (do faktury)2015,wrzesnia.DOC.exe. Analiza:

  • Nazwa: Protokol (do faktury)2015,wrzesnia.DOC.exe
  • Pierwsze wystąpienie: 2015-09-21 09:37
  • MD5: 41c9b946aa9ad2ecf09aa52cf60a850f
  • SHA1: 4fa2c32c0a54ecb02a11e24bfa8aa141270ac1ab
  • VT: analiza
  • HA: analiza i plik do pobrania

Aktualizacja: druga wersja pliku to :

  • Nazwa: Protokol~do faktury,2015.wrzesnia.PDF~.exe
  • Pierwsze wystąpienie: 2015-09-21 11:02
  • MD5: c68fb4508da624f57ec085e3fa61968f
  • SHA1: 39da097bcc680045a80be337f3fb50a62b7da2d4
  • VT: analiza
  • HA: analiza i plik do pobrania

Tym razem rola pliku jest jasna – nie jest żadnym dropperem, a na komputerze ofiary od razu pojawia się bankowy koń trojański Tinba, który próbuje łączyć się z kilkunastoma pseudolosowymi adresami by znaleźć swój serwer C&C (korzysta w tym celu z algorytmu generowania nazw domenowych).

Podsumowanie

Najlepszym podsumowaniem powyższych kampanii niech będzie zrzut ekranu z forum przestępców z wypowiedzią jednego z nich:

Wiadomość na forum

Wiadomość na forum

Nic dodać, nic ująć, pogratulować. Opisy powyższych kampanii mogą zawierać błędy lub braki – chętnie przyjmiemy informacje korygujące lub uzupełniające. Dziękujemy też wszystkim anonimowym bohaterom, którzy przyczynili się do powstania tego artykułu.

Jeśli zastanawiacie się, jak uchronić swoją firmę przed opisanymi powyżej atakami, to jedną z sensownych metod obrony może zaoferować usługa SecurityInside