Trojan bankowy DanaBot w spamie podszywającym się pod „Biuro POL-INVEST”

14 czerwca, 2018

Czytelnik Konrad podesłał nam kolejną próbkę wiadomości. Nie byłoby w tym nic dziwnego, gdyby nie to, że załączona rzekoma faktura od „Bartosz Wozniak z Biuro POL-INVEST” jest wirusem próbującym pobrać z ukraińskiego serwera trojana bankowego DanaBot.

Oryginalna wiadomość:

Od: Bartosz Wozniak

Treść: Dzień dobry, w załączniku znajduje się faktura. Faktura VAT – sprzedaży nr. 13/05/2018

Z poważaniem, Bartosz Wozniak Biuro POL-INVEST.

Załącznik „FV_001762.pdf.exe” po wypakowaniu na pierwszy rzut oka jest plikiem PDF bez ikonki, ale tak naprawdę po zagłębieniu się w szczegóły, zawiera podwójne rozszerzenie i jest plikiem wykonywalnym EXE.

W tej kampanii po raz kolejny mamy do czynienia z serwerami SMTP nazwa.pl, które są niepoprawnie zabezpieczone — pozwalają spamerom wysyłać złośliwe załączniki w „imieniu” serwera SMTP firmy Nazwa.pl. W tym przypadku oszust wysłał spam z serwera poczty, z którego korzysta firma Comimport sp. z o.o.. Przestępca w wiadomości mailowej podszywa się pod POL-INVEST — takich firm znaleźliśmy kilka, dlatego trudno jednoznacznie ustalić tę docelową.

Podejrzewamy, że wykorzystany malware w tej kampanii jest powiązany z tą wcześniejszą (albo z dropperem), o której pisaliśmy dwa dni temu. Całkiem prawdopodobne, że ta kampania ma pewne cechy wspólne z podszywaniem się pod Ergo Hestię i biuro rachunkowe „Tomfis”. Malware według nomenklatury antywirusa Eset w obu przypadkach wykrywane jest jako Win32/TrojanDropper.Danabot.C i pojawiło się na komputerach w Polsce, a wcześniej w Australii.

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ane151.rev.netart.pl ([85.128.213.151]:31061)

Spamer do serwera nazwa.pl loguje się z adresu IP:

80.79.119.232

Hash załącznika .EXE po wypakowaniu .ZIP:

83f6ca98027ddb048133a5b01ca6a110ff1c9d7d2de16152b4670830b4100a1d

Potencjalne nazwy załączników:

FV_001762.zip

Próby podszywania się pod adresy mailowe:

biuro@cominport.nazwa.pl

Rekomendujemy Czytelnikom, aby zwrócili szczególną uwagę na załączniki oraz korzystali z renomowanego oprogramowania antywirusowego. Wybór jest trudny, dlatego od wielu lat pomagamy wskazać te najlepsze, czego dowodem są aż 3 testy bezpieczeństwa, które opublikowaliśmy dzisiaj. Zachęcamy do zapoznania się ze szczegółami.

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.