Tym razem „Biuro FARMACOL” posłużyło oszustom do infekowania komputerów

19 października, 2018

To dosyć prymitywna kampania nakłaniająca do uruchomienia załącznika w postaci rzekomej faktury. Jako że otrzymaliśmy powiadomienie od kilkunastu użytkowników, postanowiliśmy bliżej przyjrzeć się działaniom, które są wymierzone przeciwko potencjalnym klientom dystrybutora farmaceutycznego Farmacol.

Oryginalna wiadomość:

Witam,
W zalaczniku znajduje sie faktura. Faktura VAT - sprzedazy  nr. 25/06/2018

Z powazaniem,
Śladkowski Mariusz
Biuro FARMACOL

Wiadomość ze skryptem pobierającym malware.

Załączony plik spakowany jest do archiwum RAR. Budzi to spore wątpliwości co do intencji nadawcy. W środku znajduje się plik faktura_191018_0077976999.vbs, który uruchamiany jest przez systemowy interpreter wscript.exe. I tak naprawdę każdy kto nie jest deweloperem aplikacji, do niczego nie potrzebuje tego systemowego procesu. Dla własnego dobra i bezpieczeństwa pracowników, w tym całej firmy, można, a nawet powinno się wyłączyć dostęp do procesu wscript.exe. Microsoft podaje jak to zrobić:

Przechodzimy do klucza HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettings i dodajemy wartość REG_DWORD, ustawiając wartość na 0. Od teraz po ręcznym uruchomieniu pliku (lub automatycznym i niewidocznym dla użytkownika, przez wirusa) z rozszerzeniem .VBS zobaczymy następujący komunikat:

Regedit WSH

Sprawdziliśmy, co potrafi uruchomiony załącznik w bezpiecznym środowisku, które wykorzystujemy do testów. Więcej o analizie malware możecie przeczytać w tym miejscu.

W przypadku tej konkretnej próbki uruchomienie pliku powoduje wykonanie złośliwego skryptu w interpreterze PowerShell.exe, który na komputer ofiary pobiera trojana. Ów trojan komunikuje się ze zdalnym serwerem i pobiera dodatkowe szkodliwe oprogramowanie na zainfekowaną maszynę.

A więc ponownie mamy do czynienia z wirusem, który do działania potrzebuje uruchomić systemowy proces PowerShell.exe. Z doświadczenia wiemy, że nawet 95% wirusów przesyłanych za pośrednictwem poczty można zablokować już na wczesnym etapie, odbierając użytkownikowi prawa uruchamiania skryptów w PowerShell. W jaki sposób to zrobić tłumaczymy w poradniku dotyczącym praktycznych wskazówek podniesienia bezpieczeństwa komputerów za pośrednictwem wbudowanych mechanizmów w system Windows 10. Poradnik jest przeznaczony dla firm i dla użytkowników domowych.

Dodatkowe IoC

SHA256:

2147ed83f8d9a839371c73fa39d3d3877f0343361f5dcdb3c4b2c25e50b43b1f

Nazwa pliku:

faktura_191018_0077976999.vbs

Spam wysyłany jest z serwerów:

ns3.hostwind.it

Spamer łączy się do serwera pocztowego z adresu IP:

5.61.45.138
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 0 / 5. Liczba głosów: 0

guest
4 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]