19:24
13/2/2017

Advertisement

Otrzymaliśmy informację, że w minionych dniach co najmniej kilka kancelarii prawnych mogło otrzymać złośliwego e-maila. Prezentujemy jego krótką analizę poniżej:

Treść e-maila

Najpierw widoczne nagłówki wiadomości:

Od: “Anna” anna1974@wp.pl
Data: 13 lutego 2017
Temat: Pelnomocnictwo dla Kancelarii

Wiadomość została wysłana przez serwery nazwa.pl:

Authentication-Results: mx.google.com;
spf=neutral (google.com: 85.128.154.142 is neither permitted nor denied by best guess record for domain of biuro@cuk24.eu) smtp.mailfrom=biuro@cuk24.eu
Received: from [192.168.0.209] (host-176-108-128-194.profnet.com.pl [176.108.128.194])
by rychlak.nazwa.pl (Postfix) with ESMTP id 4AC312D63E0
for; Mon, 13 Feb 2017 09:47:52 +0100 (CET)
From:"Anna" anna1974@wp.pl
X-Mailer: phpMailer 2.9.16

E-mail nie posiadał treści, ale miał załącznik. Plik o nazwie “Pelnomocnictwo dla Kancelarii_DOC.zip“. Wbrew pozorom, jak twierdzą znajomi prawnicy, e-mail nie jest dla nich podejrzany. Bardzo często kancelarie proszą o przesłanie pełnomocnictwa i bardzo często klienci wysyłają je bez żadnych dodatkowych treści. Wiemy, że kilka osób otworzyło załącznik i zapoznało się z jego treścią. Poniżej opisujemy czym to groziło:

Proces infekcji

Po rozpakowaniu załącznika widoczne są 2 pliki:

W pliku tekstowym znajduje się hasło do drugiego z plików — archiwum RAR. Trik ten ma pomóc obejść systemy wykrywania złośliwego oprogramowania na serwerach pocztowych. Skanery nie zajrzą do archiwów na hasło. Hasło natomiast brzmi “Pełnomocnictwo“. Po rozpakowaniu otrzymujemy dostęp do pliku:

Pełnomocnicto dla Kancelarii_DOC.js

MD5 d1ad1270afc07d168054b480f48caa48
SHA1 ab40888252275b9c9233936856e51081710e1c6b

Który po deobfuscacji prezentuje następującą treść w komentarzu:

// Je�eli si� musia� od dawna ju� szcz�liwo�ci� i n�dzy. Rousseau Emil jest konieczna, bo to niemo�emy unikn�� dwojznaczno�ci, pisali starzy czasem i drugie niemia�o, ale jednak mo�na by�o powinno�ci s� zach�caj�ce nagrody, gdzie uczynki nie mo�e jest przyczytany, tedy temu ko�cu deklarowane bywaj�, a�eby cz�owiek tu nam tu b�dzie chcia� szafowa�. On stworzy� anio�em? Ale to b�dzie znowu z�o. Wi�c z�o na niego samego uszcz�liwienia, wi�c wys�uga r�ni si� te� tu b�dzie mu si� poka�e, �e sama przez pot�ne rozwijanie si� komu zdawa�o, jak tylko, �e niepodobna by� r�na od.

a następnie próbuje łączyć się z adresem (obecnie nie działa):

hXXp://pobierz.www1.biz:3074/Vre

Plik .js jest przykładem droppera (vjw0rm), na obecną chwilę wykrywanym przez jedynie 1 antywirusa:

Osoby, które otworzyły załącznik, powinny sprawdzić poniższe lokalizacje w rejestrze na obecność podejrzanych plików:

  • HKLM\software\classes\folder\defaulticon\_coś_
  • Software\Microsoft\Windows\CurrentVersion\Run
  • HKCU\vjw0rm

Oraz następującą ścieżkę w systemie plików:

%ProgramData%\3E5DYGV0DL

Dodatkowo, rejestr należy przeszukać (funkcją Szukaj…) pod kątem frazy:

"cmd.exe /c start _coś_ &start _coś_ &exit"

Ponieważ nie udało nam się pobrać dropowanego trojana, ciężko jest powiedzieć co na celu miał atak. Czy celem była kradzież dokumentów, czy jedynie zaszyfrowanie dysku. Jeśli jesteś osobą, która rozpakowała i kliknęła w plik .JS, najlepiej wyłącz komputer i przekaż go osobie, która będzie w stanie zbadać, czy system został zainfekowany.

Prawnicy (i nie tylko), strzeżcie się!

Prawnicy mają dostęp do wrażliwych dokumentów swoich klientów i nie jest dziwne, że dokumentami tymi ktoś może być zainteresowany (konkurencyja, zwykli przestępcy). Niestety często w rozmowach z prawnikami spotykamy się z przekonaniem, że oni nie muszą się niczego obawiać, bo dokumenty nad jakimi pracują chroni tajemnica adwokacka. Tego typu atak, niewątpliwie ukierunkowany w konkretną grupę zawodową, to dobra okazja, aby przypomnieć, że tajemnica adwokacja nie dotyczy “cyberataków”.

Jeśli pracujesz w kancelarii prawnej i nie szyfrujesz dokumentów, nie robisz kopii bezpieczeństwa, najwyższa pora to aby to zmienić. Jeśli nie wiesz jak wdrożyć bezpieczeństwo w twojej kancelarii prawnej, zapraszamy do kontaktu. W naszej ofercie mamy przygotowane specjalnie pakiety usług dla kancelarii prawnych:

  • program szkoleniowyBezpieczny Pracownik” podnoszący wiedzę w zakresie bezpiecznego korzystania z komputera podczas kontaktów z klientami i w trakcie podróży. Dzięki niemu pracownicy kancelarii, od recepcjonistki po partnerów, będą wiedzieć na co zwrócić uwagę i jak poprawnie, przy zachowaniu zasad bezpieczeństwa, przetwarzać informacje jakimi dysponuje kancelaria,
  • program wdrożeniowo-consultingowy. Jego celem jest szybko wprowadzić podstawowe, ale skuteczne zabezpieczenia, które nie utrudniają prawnikom swobody pracy, ale w prosty sposób pomagają zachować bezpieczeństwo i poufność podczas wymiany wrażliwych dokumentów z klientami i współpracownikami. Wdrożenie naszych rad i odpowiedniego oprogramowania, pozwoli pozostać nie tylko poza zasięgiem przestępców, ale również innych osób, które byłyby zainteresowane inwigilacją pracy danej kancelarii.

W powyższym temacie zresztą, do kontaktu zapraszamy nie tylko przedstawicieli kancelarii prawnych. Dziś co prawda to oni są na celowniku, ale jutro podobne maile mogą dotrzeć na skrzynki Twojej firmy. Lepiej przygotować się zawczasu. Zwłaszcza, ze ten sam złośliwy załącznik był także rozsyłany pod następującymi nazwami:

test.js
Skan Dokumentu 10029.JPG.js
Nowy Projekt_DWG.js

…z których ostatnia wskazuje, że na celowniku byli również architekci lub projektanci. Jeśli się zastanowić nad działaniem atakującego, to małe biura projektowe są prawnie tak dobrym celem jak kancelarie. Biznes jest dochodowy (mają z czego płacić okup), a pewnie nie zawsze wykonują kopie bezpieczeństwa plików. Ich utrata na pewno niektórych zaboli — do tego stopnia, że będą rozważali zapłatę okupu za odzyskanie do niego dostępu (nad jednym projektem można w końcu pracować wiele tygodni).

Aktualizacja 14.02.2017, 9:00
Tak jak podejrzewaliśmy, odbiorcami podobnej wiadomości są też firmy architektoniczne. Do nich wiadomość została wysłana z adresu anna197@wp.pl, a plik zip miał tytuł “Nowy Projekt_DWG.zip” (4.1 KB).

Przeczytaj także:



27 komentarzy

Dodaj komentarz
  1. Dokument w pliku JavaScript? Kto by się na to nabrał? :D W kancelariach raczej są inteligentne osoby…

    • A który prawnik sam włączył wyświetlanie rozszerzeń znanych plików?

    • aden, bo ich dokumenty są chronione przez tejemnicę adwokacką. Bue he he.

    • Znam dobrze wielu adwokatow i moge cie zapewnic, ze moze i sa inteligentni ale z techniki/informatyki sa straszne nogi. Typowe umysly humanistyczne. Nie potrafia zrobic najprostszych rzeczy w komputerze/systemie.

  2. Czemu javascript ma dostęp do shell i możliwość ingerencji w rejestr systemu? Nie potrafię sobie wyobrazić chociaż jednej sytuacji, w której takie coś jest pożądane.

    • Czasami jest to wygodne – za pomocą przeglądarki Internet Explorer możesz wygodnie sprawdzić np. parametry danego komputera i wykaz zainstalowanych na nim programów:
      http://programistrz.pl/projekty/hardware/
      http://programistrz.pl/projekty/software/
      Nie potrzeba niczego u użytkownika instalować, ważne, żeby te skrypty (właściwie strona z aplikacją) były dostępne w lokalnym intranecie.

    • Na normalnych systemach lub przeglądarkach VBScript (bo tak się nazywa wariant JavaScript autorstwa Microsoft) się nie odpala, ponieważ wspierają tylko prawdziwy JS (ECMA262), a nie taki z “dodatkami”. Wystarczy odinstalować IE :P

    • @khartv Gwoli ścisłości, VBScript nie jest wariantem JavaScriptu. VBScript wywodzi się z Visual Basica.
      Microsoftowa implementacja JavaSciptu nazywa się JScript :)

  3. Jak rozumiem wyłączenie wscript w systemie powoduje, że większość tego typu infekcji będzie nieskuteczna?

  4. Miałem przyjemność otrzymać identycznego e-maila na adres kancelarii dziś rano. Jednak mój serwer pocztowy od razu wrzucił go do SPAMu. Kancelaria nie spodziewała się takiego e-maila, poza tym był bez treści, a załącznik o bardzo małej wielkości i nie wiadomo czemu spakowany tzn wiadomo. Mam nadzieję, że nikt się nie nabrał. Jedyny sprytny element to ta pusta treść emaia. Ludzie często przysyłają e-maile bez treści, a każda treść mogłaby dać tylko więcej argumentów przeciwko otwieraniu załącznika ;)

  5. Dzien dobry, proszę uprzejmie o informację czy jest możliwość zainfekowania Lumii950xl z windowsphone, na tym smartfonie kliknąłem na ww. załącznik, a jeśli tak to jak siemoge pozbyć tego z telefonu. Proszę o poradę i kontakt, oczywiście także jeśli ma być płatna.
    Z poważaniem,
    Adam

    • nie

    • Proponuję pozbyć się “z”, wtedy pytanie będzie miało sens. Odpowiedź na tak sformułowane pytanie: “W sklepach budowlanych zazwyczaj jest punkt zbiórki elektroodpadów”.

    • O ile mi wiadomo, na dzień dzisiejszy nie są znane przypadki zarażenia telefonu z Windows Phone albo Windows Mobile jakimkolwiek złośliwym oprogramowaniem. Jedna z największych zalet tego systemu.

    • @khartv podobnie jak z linuxem. Nie to że się nie da, bo się da. Jednak ekonomia mówi: po co atakować niszowy sektor, jeśli więcej się zarobi atakując 95% urządzeń z bardziej popularnymi OSami?

      I tutaj w tych 5% mieście się linux na desktopach i win na telefonach.

  6. Dostałem tego malware’a do wstępnej analizy (programista JS) z kancelarii. Ma ciekawe funkcje – potrafi pobierać nowe wersje z serwera C&C (pod tym adresem co wyżej), updatować siebie samego, zapisywać/odczytywać dowolne pliki i aktualizować adres do “płatności”. Wysyła też customowe User-Agent przed pobraniem polecenia, co wskazuje na to, że jest przygotowany na dostarczanie “targeted payloads” pod dane wersje systemów. Jest też komenda na wyłączenie się (“Cl” w responsie HTTP z C&C)

    Co do “płatności”, to wygląda trochę jak ransomware (był tam w środku string “payu_cośtam”, który podlega updatowi – zapewne w wypadku zablokowania nielegalnego konta sprzedawcy). Nie wiem jednak, co robił faktyczny payload.

  7. Pytanie – jak mam NAS który na bieżąco tworzy kopie bezpieczeństwa wybranych obszarów dysku (nie Windowsa) jaka jest szansa, że tego typu infekcje przemigrują na NAS?

    • NAS na 90% chodzi pod linuxem, dodatkowo sam z siebie nie otwiera przesyłanych mu plików. Więc szansa na zarażenie samego NAS’a jest zerowa.

      Oczywiście backup plików na NAS przekopiuje wirusa jeśli on akurat się będzie znajdował w ścieżce backupowanej. Nie mniej jednak będzie to tylo niedziałający plik na dysku, tak długo jak ktoś nie postanowi go sobie uruchomić np. na innym komputerze z dysku współdzielonego.

      Trzeba też uważać na rodzaj backupu. Jeśli jest to backup nie wersjonowany, a jedynie lustrzana kopia systemu plików klienta. TO w przypadku gdy ransomware zaszyfruje pliki klienta. Backup przekopiuje zaszyfrowane pliki na NAS nadpisując stare wersje. Czyli okaże się że tak na prawdę nie mamy backupu bo dane tam są również zaszyfrowane. Dlatego backup powinien być również wersjonowany. Ja np mam 7 wersji z ostatniego tygodnia, później 4 tygodniowe wersje, 12 miesięcznych i 4 roczne.

  8. Próbuję zrozumieć sens słów:
    “oni nie muszą się niczego obawiać, bo dokumenty nad jakimi pracują chroni tajemnica adwokacka”.
    Czy oni myślą, że jak na pierwszej stronie jest napisane “tajne”, to nikt takiego dokumentu nie przeczyta?

    • >
      > Próbuję zrozumieć sens słów:
      >
      > “oni nie muszą się niczego obawiać, bo dokumenty
      > nad jakimi pracują chroni tajemnica adwokacka”.

      I ja próbuję. Naprawdę tak mówią? Tu już nie chodzi o wiedzę, lecz o elementarną logikę i kojarzenie faktów. Czy na studiach prawniczych nie ma obowiązkowych zajęć z logiki i filozofii???? Noż ręce opadają…..

  9. Ten sam js trafił pod inną nazwą ta sama suma kontrolna do architektów/planistów przestrzennych, którzy uruchomili go….

  10. Serio ktoś otwierał to bez zastanowienia, dlaczego tak mały plik jak pełnomocnictwo został spakowany? Albo czy w ogóle rozmawiało się ostatnio z jakąś Anną o jakiejś sprawie? Żadna lampka alarmowa nie zapłonęła? Na litość, ludzie myślcie!

    • Od wczoraj żyjesz na tym świecie? Zdecydowana większość ludzi ma zerowe pojęcie o komputerach a tym bardziej o cyberbezpieczeństwie. I nadal będzie mieć zerowe, bo skoro akcja Snowden’a mówiąca wszem i wobec, że “nas szpiegujo” nie pomogła, tak samo jak kolejne wzmianki o kręcących się wirusach po necie – to nic innego nie pomoże. A dla nich liczy się to, czy komputer działa i robi to, co trzeba, żeby mogli zarobić pieniądze. Oni nie są od cyberbezpieczeństwa, tylko prędzej admini w firmach (o ile takich posiadają). A nauczą się dopiero, jak się przy tym sparzą.

  11. Jak sprawa wyglada w przypadku OSX?

  12. Niestety dałem się złapać i kliknąłem na tego emaila. Na razie nic z komputerem niebezpiecznego się nie dzieje ? Czy ktoś miał podobnie ? Czy ktoś się orientuję co zawierał ten email ?

  13. Zaszyfrował pliki na dysku i zarządał 499 USD za odszyfrowanie

  14. Damian, mowisz, ze nie dzieje sie nic zlego z kompem. Obecny malware ma byc cichy w dzialaniu. W znacznej ilosci targeted attacks waznienszym jest kradziez danych poufnych a nastepnie szantaz klienta. Kancelaria, ktorej poufne dokumenty ujrza swiatlo dzienne straci reputacje i klientów. Chyba ze haker pokaze czesc straconych dokumentow i za milczenie otrzyma sowite wynagrodzenie. . Sa programy, ktore skanuja zalaczniki i odnajduja kody, takze te ukryte (obfuscated). Np Blended Threat Module.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: