10:14
11/5/2018

Od 2 dni otrzymujemy wzmożone zgłoszenia od Czytelników, do których ktoś z adresu e-mail “payu2018@dfirma.pl” przesłał potwierdzenie wpłaty za rzekomo wystawioną w maju fakturę. Załącznik (dokument Worda) jest złośliwy i po otworzeniu infekuje komputer ofiary złośliwym oprogramowaniem.

Tak wygląda e-mail:

A tu jego nagłówki:

Received: from smtp8.dhosting.pl (smtp8.dhosting.pl [195.88.50.182])
(using TLSv1.2 with cipher AECDH-AES256-SHA (256/256 bits))
(No client certificate requested)
Thu, 10 May 2018 05:40:19 +0200 (CEST)
Received: from WINK10FKIHDVOV (unknown [185.125.230.110])
(Authenticated sender: payu_2018@dfirma.pl)
by smtp-2.dpoczta.pl (smtp-2.dpoczta.pl)

W zwiazku z nasza rozmowa telefoniczna dokonalismy transferu na panstwa konto 80,000 zl
(osiemdziesiat tysiecy zloty) jest to oplata faktury wystawionej przez Panstwa firme dnia 2018.05.08
Zalaczam potwierdzenie dokonania wplaty jeszcze dzis zadzwonimy do Panstwa
w celu potwierdzenia otrzymania srodkow.

Pozdrawiam Ksiegowosc Beta Prus

nr tel 605 437 458

Po otworzeniu, złośliwy załącznik wykorzystuje podatność CVE-2017-11882 w Wordzie (a dokładniej jego edytorze równań) i pobiera z adresu http://uploadtops[.]is/1//f/RY2Npnj złośliwy plik Protected.exe (VirusTotal), zmienia jego nazwę na losową i dopisuje do autostartu plik .js, który gwarantuje uruchamianie złośliwego pliku po restarcie:

try { geRteP=new ActiveXObject("WScript.shell"); bLyrUIIY=geRteP.ExpandEnvironmentStrings("%appdata%"); geRteP.run("cmd /c start "+bLyrUIIY+"\\"+"raaQlJgepG.exe",0); } catch(e) { }

E-maile, choć bez polskich liter, to zawierają poprawnie gramatyczną treść i z informacji jakie otrzymujemy od naszych czytelników z firm, księgowe dokumenty otwierają… Te które posiadają zaktualizowaną wersję pakietu Office na szczęście nie muszą się niczym martwić. Atak wykorzystujący tę podatność jest znany od 5 miesięcy, więc należy mieć nadzieję, że większość firm zdążyła już zaktualizować swoje komputery.

Chcesz nauczyć się szybko analizować złośliwe pliki/załączniki, aby móc odpowiedzieć na pytanie, czy załącznik w e-mailu przesłanym do któregoś z Twoich pracowników jest złośliwy i ustalić czy atak był ukierunkowany (wymierzony tylko w Twoją firmę) czy globalny? Jeśli tak, to zapraszamy an 2 dniowe szkolenie z Analizy Malware, które odbędzie się w przyszłym tygodniu w Warszawie i w lipcu w Krakowie. W ciągu 2 dni warsztatów nauczymy Cię jak zbudować skuteczne środowisko do szybkiej analizy złośliwego oprogramowania przy użyciu darmowych narzędzi.

IOC

Poniżej IOC związane z tym atakiem, do zablokowania na waszych TLS-ach i przegrepowania w logach.

Załącznik:
“Potwierdzenie wplaty2018.05.10.doc”
sha256 5dec08f845fc70d855f463370b8da8cc6fb94638400595c02b0cbda646b43fdd
sha1 b23b2a15da68a86db47715392e77985ad7ae588d
md5 bd4eec0d3f3cb2836df5ae89797dcb6c

Dropped malware:

sha256 06d31a5a01dc64ffa39f804226ac59efb7fe490849ad3d5f966145d7ce3e4e0d

Ruch sieciowy:
http://uploadtops.is/1//f/RY2Npnj
http://uploadtops.is/1//f/30c5END
82.221.105.125
78.46.127.120
109.202.107.10
37.233.101.73
93.184.221.240
213.152.161.35

Dziękujemy wszystkim Czytelnikom, którzy poinformowali nas o tym ataku i przesłali nam jego próbki.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

17 komentarzy

Dodaj komentarz
  1. > dopisuje do autostartu plik .js, który gwarantuje uruchamianie złośliwego pliku po restarcie:

    Nie zabangla na komputerach z wyłączonym WSH (=większość korpo)

    • btw już mogli dodawać exe do autostartu, mieliby większa niezawodność… Czemu JS?

    • > “Czemu JS?”

      Bo relatywnie więcej serwerów blokuje załączniki EXE aniżeli JS?

  2. Brak polskich znaków. To pewnie Thomas z więziennej kafejki.

  3. dhosting – spamerska domena, wycinać z korzeniami, jam to uczynił dawno temu jak tylko zaczęli słać g..wna.

  4. Nie jestem z tych otwierających załączniki od obcych, ale czy korzystanie z LibreOffice omija zagrożenie?

    • Tak

  5. Spam został wysłany z konta założonego dzisiaj i zablokowanego bardzo szybko. Ilość wiadomości, która została wysłana była stosunkowo niewielka z powodu specjalnych filtrów antyspamowych. Niestety, podobne sytuacje to zmora branży hostingowej, z którą mierzy się każda firma na rynku.

    Niemniej, dziękujemy za uświadamianie użytkowników Niebezpiecznik

  6. Czy w przypadku załączników PDF są jakieś zagrożenia? Często takie pliki otwierane są w przeglądarce.

    • Tak, mogą być. Format pliku nie ma znaczenia – jeśli jest błąd w kliencie, to nawet plik tekstowy może go wyexploitowac. Co do pdf w prsegladarce, chrome zabezpiecza się sandboxem dodatkowo

    • Czyli otwieranie pliku pdf w Chromie jest dużo bardziej bezpieczne?

    • No, tak

  7. Zauważyliście błędne pisownie imion? Bo nie zapisaliście o tym w artykule.

    • Może ona naprawdę ma na imię Mariloa…

  8. Jak piszecie o podatnościach w Wordzie to one tyczą się również Writtera (LibreOffice)?

  9. Beta Prus – a jaka będzie wersja ostateczna?

  10. Jak by mi przesłali na 800zł to mógł bym się naciąć ale 80k za fakturę poza moim zasięgiem

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: