Zaobserwowano nową kampanię phishingową ukierunkowaną w polskich internautów. W rozsyłanej wiadomości e-mail załączone jest pismo od Prezesa Urzędu Ochrony Konkurencji i Konsumentów w postaci pliku z rozszerzeniem .CHM.
Przestępcy wykorzystują CVE-2019-0541 – podatność Windows, dotykającą Office’a, Office Word i Excel Viewera, IE 9-11 i Office’a 365 ProPlus. Luka umożliwia zdalne wykonanie kodu na komputerze ofiary. Ponieważ silnik MSHTML nieprawidłowo sprawdza poprawność danych wejściowych, złośliwy kod tworzy najpierw plik z rozszerzeniem *.tmp a później za pomocą procesu certutil.exe zmienia go, dekodując na złośliwą dynamiczną bibliotekę *.dll która jest następnie uruchamiana przez systemowy rundll32.exe.
Czytamy na blogu CERT Orange Polska.
Załatajcie swoje Windowsy i – o tym pamiętajcie zawsze – NIE otwierajcie dziwnych maili, co do których nie macie pewności co do osoby nadawcy.
Domena została zakupiona 2 kwietnia. Serwer znajduje się w centrum danych OVH, ale jego dzierżawcą jest firma hostingowa iphoster.net, która zawiesiła usługę. Natomiast domena microsoft-hohm.space, z którą komunikowało się złośliwe oprogramowanie mogła posłużyć jako „weryfikator” dostępu do Internetu – szkodliwe oprogramowanie często sprawdza, czy ma dostęp do sieci, zanim zacznie wykonywać kolejne, zaprogramowanie instrukcje, ale zwykle robi się to poprzez zwykłe odpytanie publicznej usługi DNS albo domeny znane firmy jak Microsoft.com. Bardziej prawdopodobne jest, że z tego serwera pobierano dodatkowy ładunek.
Mamy do czynienia z wielowektorowym łańcuchem infekcji, który często jest stosowany przez autorów szkodliwego oprogramowania. Z tego względu prosimy internautów, aby mieli na uwadze, że współczesna, wielowarstwowa ochrona jest bardziej skuteczna, niż starsze narzędzia bezpieczeństwa.
