Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.
08:14

Uwaga na fałszywe potwierdzenia wpłaty rozsyłane e-mailem!

Od 2 dni otrzymujemy wzmożone zgłoszenia od Czytelników, do których ktoś z adresu e-mail “payu2018@dfirma.pl” przesłał potwierdzenie wpłaty za rzekomo wystawioną w maju fakturę. Załącznik (dokument Worda) jest złośliwy i po otworzeniu infekuje komputer ofiary złośliwym oprogramowaniem.

Tak wygląda e-mail:

A tu jego nagłówki:

Received: from smtp8.dhosting.pl (smtp8.dhosting.pl [195.88.50.182])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
Thu, 10 May 2018 05:40:19 +0200 (CEST)
Received: from WINK10FKIHDVOV (unknown [185.125.230.110])
(Authenticated sender: payu_2018@dfirma.pl)
by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl)

W zwiazku z nasza rozmowa telefoniczna dokonalismy transferu na panstwa konto 80,000 zl
(osiemdziesiat tysiecy zloty) jest to oplata faktury wystawionej przez Panstwa firme dnia 2018.05.08
Zalaczam potwierdzenie dokonania wplaty jeszcze dzis zadzwonimy do Panstwa
w celu potwierdzenia otrzymania srodkow.

Pozdrawiam Ksiegowosc Beta Prus

nr tel 605 437 458

Po otworzeniu, złośliwy załącznik wykorzystuje podatność CVE-2017-11882 w Wordzie (a dokładniej jego edytorze równań) i pobiera z adresu http://uploadtops[.]is/1//f/RY2Npnj złośliwy plik Protected.exe (VirusTotal), zmienia jego nazwę na losową i dopisuje do autostartu plik .js, który gwarantuje uruchamianie złośliwego pliku po restarcie:

try { geRteP=new ActiveXObject("WScript.shell"); bLyrUIIY=geRteP.ExpandEnvironmentStrings("%appdata%"); geRteP.run("cmd /c start "+bLyrUIIY+"\\"+"raaQlJgepG.exe",0); } catch(e) { }

E-maile, choć bez polskich liter, to zawierają poprawnie gramatyczną treść i z informacji jakie otrzymujemy od naszych czytelników z firm, księgowe dokumenty otwierają… Te które posiadają zaktualizowaną wersję pakietu Office na szczęście nie muszą się niczym martwić. Atak wykorzystujący tę podatność jest znany od 5 miesięcy, więc należy mieć nadzieję, że większość firm zdążyła już zaktualizować swoje komputery.

Chcesz nauczyć się szybko analizować złośliwe pliki/załączniki, aby móc odpowiedzieć na pytanie, czy załącznik w e-mailu przesłanym do któregoś z Twoich pracowników jest złośliwy i ustalić czy atak był ukierunkowany (wymierzony tylko w Twoją firmę) czy globalny? Jeśli tak, to zapraszamy an 2 dniowe szkolenie z Analizy Malware, które odbędzie się w przyszłym tygodniu w Warszawie i w lipcu w Krakowie. W ciągu 2 dni warsztatów nauczymy Cię jak zbudować skuteczne środowisko do szybkiej analizy złośliwego oprogramowania przy użyciu darmowych narzędzi.

IOC

Poniżej IOC związane z tym atakiem, do zablokowania na waszych TLS-ach i przegrepowania w logach.

Załącznik:
“Potwierdzenie wplaty2018.05.10.doc”
sha256 5dec08f845fc70d855f463370b8da8cc6fb94638400595c02b0cbda646b43fdd
sha1 b23b2a15da68a86db47715392e77985ad7ae588d
md5 bd4eec0d3f3cb2836df5ae89797dcb6c

Dropped malware:

sha256 06d31a5a01dc64ffa39f804226ac59efb7fe490849ad3d5f966145d7ce3e4e0d

Ruch sieciowy:
http://uploadtops.is/1//f/RY2Npnj
http://uploadtops.is/1//f/30c5END
82.221.105.125
78.46.127.120
109.202.107.10
37.233.101.73
93.184.221.240
213.152.161.35

Dziękujemy wszystkim Czytelnikom, którzy poinformowali nas o tym ataku i przesłali nam jego próbki.

Przeczytaj także:

<!-- Similar Posts took 7.089 ms -->

Don't be the product, buy the product!

Schweinderl