To dosyć prymitywna kampania nakłaniająca do uruchomienia załącznika w postaci rzekomej faktury. Jako że otrzymaliśmy powiadomienie od kilkunastu użytkowników, postanowiliśmy bliżej przyjrzeć się działaniom, które są wymierzone przeciwko potencjalnym klientom dystrybutora farmaceutycznego Farmacol.

Oryginalna wiadomość:

Witam,
W zalaczniku znajduje sie faktura. Faktura VAT - sprzedazy  nr. 25/06/2018

Z powazaniem,
Śladkowski Mariusz
Biuro FARMACOL

Wiadomość ze skryptem pobierającym malware.
Wiadomość ze skryptem pobierającym malware.

Załączony plik spakowany jest do archiwum RAR. Budzi to spore wątpliwości co do intencji nadawcy. W środku znajduje się plik faktura_191018_0077976999.vbs, który uruchamiany jest przez systemowy interpreter wscript.exe. I tak naprawdę każdy kto nie jest deweloperem aplikacji, do niczego nie potrzebuje tego systemowego procesu. Dla własnego dobra i bezpieczeństwa pracowników, w tym całej firmy, można, a nawet powinno się wyłączyć dostęp do procesu wscript.exe. Microsoft podaje jak to zrobić:

Przechodzimy do klucza HKEY_CURRENT_USER\Software\Microsoft\Windows Script Host\Settings i dodajemy wartość REG_DWORD, ustawiając wartość na 0. Od teraz po ręcznym uruchomieniu pliku (lub automatycznym i niewidocznym dla użytkownika, przez wirusa) z rozszerzeniem .VBS zobaczymy następujący komunikat:

Regedit WSH
Uruchamianie skryptów .VBS nie będzie już możliwe. Jest to dobre i darmowe zabezpieczenie się przed tego typu załącznikami.

Sprawdziliśmy, co potrafi uruchomiony załącznik w bezpiecznym środowisku, które wykorzystujemy do testów. Więcej o analizie malware możecie przeczytać w tym miejscu.

W przypadku tej konkretnej próbki uruchomienie pliku powoduje wykonanie złośliwego skryptu w interpreterze PowerShell.exe, który na komputer ofiary pobiera trojana. Ów trojan komunikuje się ze zdalnym serwerem i pobiera dodatkowe szkodliwe oprogramowanie na zainfekowaną maszynę.

A więc ponownie mamy do czynienia z wirusem, który do działania potrzebuje uruchomić systemowy proces PowerShell.exe. Z doświadczenia wiemy, że nawet 95% wirusów przesyłanych za pośrednictwem poczty można zablokować już na wczesnym etapie, odbierając użytkownikowi prawa uruchamiania skryptów w PowerShell. W jaki sposób to zrobić tłumaczymy w poradniku dotyczącym praktycznych wskazówek podniesienia bezpieczeństwa komputerów za pośrednictwem wbudowanych mechanizmów w system Windows 10. Poradnik jest przeznaczony dla firm i dla użytkowników domowych.

Dodatkowe IoC

SHA256:

2147ed83f8d9a839371c73fa39d3d3877f0343361f5dcdb3c4b2c25e50b43b1f

Nazwa pliku:

faktura_191018_0077976999.vbs

Spam wysyłany jest z serwerów:

ns3.hostwind.it

Spamer łączy się do serwera pocztowego z adresu IP:

5.61.45.138
AUTOR:

Adrian Ścibor

Tagi
Podziel się

Komentarze

M sob., 20-10-2018 - 09:03

Dostalem w ciagu ostatniego miesiaca ok 15 takich emaili, z roznych firm.

Adrian Ścibor sob., 20-10-2018 - 09:13

Czyli dzieje się :) Sednem tak naprawdę są dwa wektory infekcji komputerów via PowerShell i wscript. Zablokowane nie pozwolą na uruchomienie złośliwego kodu.

Dodane przez M w odpowiedzi na

Robert sob., 20-10-2018 - 12:08

Dostałem wczoraj rano taką sama wiadomość, ale z innymi nazwami załączników. Na szczęście zawsze wiem co z tym zrobić :D

Dodaj komentarz