Tym razem „Biuro FARMACOL” posłużyło oszustom do infekowania komputerów

19 października, 2018

To dosyć prymitywna kampania nakłaniająca do uruchomienia załącznika w postaci rzekomej faktury. Jako że otrzymaliśmy powiadomienie od kilkunastu użytkowników, postanowiliśmy bliżej przyjrzeć się działaniom, które są wymierzone przeciwko potencjalnym klientom dystrybutora farmaceutycznego Farmacol.

Oryginalna wiadomość:

Witam,
W zalaczniku znajduje sie faktura. Faktura VAT - sprzedazy  nr. 25/06/2018

Z powazaniem,
Śladkowski Mariusz
Biuro FARMACOL

Załączony plik spakowany jest do archiwum RAR. Budzi to spore wątpliwości co do intencji nadawcy. W środku znajduje się plik faktura_191018_0077976999.vbs, który uruchamiany jest przez systemowy interpreter wscript.exe. I tak naprawdę każdy kto nie jest deweloperem aplikacji, do niczego nie potrzebuje tego systemowego procesu. Dla własnego dobra i bezpieczeństwa pracowników, w tym całej firmy, można, a nawet powinno się wyłączyć dostęp do procesu wscript.exe. Microsoft podaje jak to zrobić:

Przechodzimy do klucza HKEY_CURRENT_USERSoftwareMicrosoftWindows Script HostSettings i dodajemy wartość REG_DWORD, ustawiając wartość na 0. Od teraz po ręcznym uruchomieniu pliku (lub automatycznym i niewidocznym dla użytkownika, przez wirusa) z rozszerzeniem .VBS zobaczymy następujący komunikat:

Sprawdziliśmy, co potrafi uruchomiony załącznik w bezpiecznym środowisku, które wykorzystujemy do testów. Więcej o analizie malware możecie przeczytać w tym miejscu.

W przypadku tej konkretnej próbki uruchomienie pliku powoduje wykonanie złośliwego skryptu w interpreterze PowerShell.exe, który na komputer ofiary pobiera trojana. Ów trojan komunikuje się ze zdalnym serwerem i pobiera dodatkowe szkodliwe oprogramowanie na zainfekowaną maszynę.

A więc ponownie mamy do czynienia z wirusem, który do działania potrzebuje uruchomić systemowy proces PowerShell.exe. Z doświadczenia wiemy, że nawet 95% wirusów przesyłanych za pośrednictwem poczty można zablokować już na wczesnym etapie, odbierając użytkownikowi prawa uruchamiania skryptów w PowerShell. W jaki sposób to zrobić tłumaczymy w poradniku dotyczącym praktycznych wskazówek podniesienia bezpieczeństwa komputerów za pośrednictwem wbudowanych mechanizmów w system Windows 10. Poradnik jest przeznaczony dla firm i dla użytkowników domowych.

Dodatkowe IoC

SHA256:

2147ed83f8d9a839371c73fa39d3d3877f0343361f5dcdb3c4b2c25e50b43b1f

Nazwa pliku:

faktura_191018_0077976999.vbs

Spam wysyłany jest z serwerów:

ns3.hostwind.it

Spamer łączy się do serwera pocztowego z adresu IP:

5.61.45.138

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.