Od naszego Czytelnika właśnie dotarła do nas wiadomość e-mail z próbą zainfekowania komputera szkodliwym oprogramowaniem pod pozorem nierozliczonych składek na ZUS. Tak, ktoś wykorzystuje wizerunek państwowej instytucji, która i tak już jest dostatecznie znienawidzona przez przedsiębiorców. Na szczęście rzekome powiadomienie o zaległych składkach nie jest prawdziwe, chociaż może zawierać szkodliwe oprogramowanie.
W tym przypadku nie udało nam się zainfekować systemu operacyjnego. Do tego celu wykorzystujemy specjalną platformę, która pozwala nam zautomatyzować cały proces w bezpiecznym i odizolowanym środowisku. Szczegóły tutaj.
My dokonaliśmy już analizy. Wy nie musicie, ponieważ spam, który możecie otrzymać, może przybrać podobną postać — autor kampanii może się poprawić, ale nie musi, i zmieni linki do malware, które już mogą zawierać poprawnie działającego wirusa.
Oryginalna wiadomość:
Od: [email protected] Temat: Zalegle skladki Z powazaniem [ZAKLAD UBEZPIECZEN SPOLECZNYCH] SKLADKI NA DZIEN 2018.10.10 [Szamocka 3/5 · +48 22 560 16 00] e-mail: [[email protected]] www: [zus.pl]
Identyfikujący nagłówek spamera lub ofiarę z zainfekowanym PC rozsyłającym spam:
Received: from WIN-OQJUIMC71B6 (23.83.133.126) by CO1NAM04FT029.mail.protection.outlook.com (10.152.90.172) with Microsoft SMTP Server id 15.20.1228.17 via Frontend Transport; Wed, 10 Oct 2018 09:23:21 Received: from WIN-OQJUIMC71B6 ([23.83.133.126]) by WIN-OQJUIMC71B6 with Microsoft SMTPSVC(10.0.14393.0); Wed, 10 Oct 2018 02:23:20 -0700
Po kliknięciu w hiperłącze SKLADKI NA DZIEZ 10.10.2018 ofiara jest przenoszona do strony:
hxxps://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip
Na tej stronie następuje przekierowanie do:
hxxps://www.sendspace.com/file/dzgd8l
Strona zawiera kolejny link do pobrania archiwum ZIP o nazwie „Składki na dzien 2018.10.10.zip”.
Rozpakowany ZIP bez hasła zawiera plik „Składki na dzien 2018.10.10.doc”, a jego suma kontrolna to:
0f58b5faf9a9a765a06ec644e8ea946a3099f41f3d1d7201ed02ac90a29d3b89
Na pierwszy rzut oka jest to typowy makrowirus, czyli szkodliwe oprogramowanie zaszyte w dokumencie pakietu Office. Zazwyczaj po otworzeniu dokumentu widoczne jest ostrzegawcze okienko przed złośliwą zawartością. W tym przypadku dokument jest nieudaną próbą rozprowadzania szkodliwego oprogramowania. Oprócz „krzaków” plik nie zawiera żadnych poleceń makro:
Chociaż pobrany plik całkowicie i zupełnie jest nieszkodliwy, to prawdopodobnie już niedługo spamer spróbuje się poprawić i rozesłać w eter linki do poprawionego złośliwego dokumentu.
Nie ma co płakać nad rozlanym mlekiem. Czytelnikom przypominamy, że jeżeli dokument zawierałby polecenia makro, to na 100% uruchamiałby komendy w PowerShell. A przed takim zagrożeniem nie jest trudno się chronić, jeśli dysponuje się odpowiednim oprogramowanym zabezpieczającym, które potrafi monitorować uruchamiane polecenia w systemowych interpreterach. Na znaczeniu nabierają także programy, które detonują nieznane pliki w odizolowanym środowisku (sandbox).
Do skutecznego zabezpieczenia komputerów mocno rekomendujemy zapoznanie się z praktycznymi wskazówkami ochrony przed podobnymi zagrożeniami. Czytelnikom, którzy chcieliby zabezpieczyć komputery bezpłatnym oprogramowaniem antywirusowym, polecamy nasz poradnik rekomendowanym darmowych antywirusów.
Pamiętajcie, że zainfekowany PC lub jedno z urządzeń internetu rzeczy dokładnie w taki sposób może rozsyłać spam. Jako społeczność zrzeszona w Internecie wszyscy razem jak jeden mąż odpowiadamy za bezpieczeństwo innych internautów. Jeżeli macie jakieś pytania odnośnie do ochrony i zabezpieczeń, prosimy o komentarze.
