Masowy, ale bardzo nieudany atak podszywający się pod ZUS – analiza
Od rana do Waszych skrzynek trafiają e-maile, w których przestępca podszywa się pod Zakład Ubezpieczeń Społecznych. Atakujący ma jednak najwyraźniej problemy techniczne – pliki, którymi próbuje Was infekować, albo nie działają, albo są nieskuteczne.
Czasem obserwowanie działań przestępców przypomina seans filmu z Benny Hillem. Niektórzy co chwilę potykają się o własne nogi, wpadają do każdej kałuży i biegają bez sensu w kółko. Nie inaczej jest w przypadku tego ataku.
E-mail nawet całkiem przyzwoity
Wiadomość, w której przestępca próbuje przekonać Was do zainstalowania złośliwego oprogramowania, jest przygotowana w miarę przyzwoicie. Wygląda tak:
Od: Zaklad Ubezpieczen Spolecznych <ZUS@gov.pl>
Data: 10 października 2018 o 09:53
Temat: Zalegle skladki
Z powazaniem
[ZAKLAD UBEZPIECZEN SPOLECZNYCH]
SKLADKI NA DZIEN 2018.10.10
[ Szamocka 3/5 · +48 22 560 16 00]
e-mail: [zus@gov.pl]
www: [zus.pl]
To nie jedyna próbka – do tej pory dotarły do nas trzy różne, lecz wszystkie były dość podobne. Najnowsza ma nieco inną treść:
Witam W zwiazku z nasza rozmowa tel. przesylam skan faktury, ktora dzis oplacilam srodki powinny byc dzis na Panstwa koncie. Prosze potwierdzic otrzymanie srodkow. SKLADKI NA DZIEN 2018.10.10 Pozdrawiam Ksiegowa Weronika Mazur www.Luxury-profit.pl
Złośliwe pliki do niczego
O ile e-maila jest dość łatwo przygotować, o tyle skuteczne dostarczenie złośliwego oprogramowania jest bardziej problematyczne i najwyraźniej przerosło autora kampanii. Zidentyfikowaliśmy trzy różne linki, prowadzące do różnych plików, lecz żaden z nich nie działa zgodnie z oczekiwaniami twórcy.
W pierwszej iteracji wysyłany był link:
1 2 3 | http://s000.tinyupload.com/download.php?file_id=02050147363398326419&t=0205014736339832641975716 Składki na dzien 2018.10.10.doc |
lecz autor bardzo szybko usunął docelowy plik z serwera. Zrobił to zapewne dlatego, że plik był mocno uszkodzony. Zawierał – co prawda – treść, lecz był nieprawidłowo zbudowany, przez co otwierał się w Wordzie jako zwykły plik, niezdolny do wyrządzenia jakiejkolwiek szkody.
Tak uszkodzone pliki można jednak poddać analizie. Autor chciał, by uruchomienie tego pliku powodowało wizytę pod adresem:
1 | http://bit.ly/2ONVBS5 |
przekierowującym do adresu:
1 | http://s000.tinyupload.com/?file_id=06638980041805414208 |
gdzie czekał złośliwy plik:
1 2 3 | Windows process.exe SHA1: 4237169c5242d241f205116921e59b52b92c14bd VT: https://www.virustotal.com/#/file/c48121bbaaa8353a6681b2e2aaa0245f3681c815c87d90fd8fb833061f67ff43/detection |
Analiza linku bit.ly potwierdza, że nikt go nie odwiedził (poza kilkoma analitykami). Atak był zatem nieskuteczny.
Przestępca najwyraźniej zorientował się, że jego atak nie działa i postanowił go poprawić. Tym razem w kolejnej fali wysyłek umieścił link do strony:
1 2 3 | https://fs03n1.sendspace.com/dl/8eac0e52f975bb47505b78eff69f06db/5bbddec6231cc1fd/vjabxm/SKAN%202018.10.10.doc SKAN 2018.10.10.doc SHA1: a7c75e62cd52dff486fa4e6f5239b4e6d190e8bd |
Ten plik również nie wykonywał się po uruchomieniu – ale gdyby się uruchomił, odwiedziłby adres:
1 | https://bitly.com/2Cz0PLR |
zawierający przekierowanie na:
1 | https://fs01n4.sendspace.com/dl/8d93c52b557c9654792441d6fd90cdb5/5bbddde7201a2ec5/ydvcv4/SKAN.DOC.exe |
gdzie czekał złośliwy plik:
1 2 3 | SKAN.DOC.exe SHA1: 85df1e4f362b0bd9f48016b7f155aa757f7bc1d7 VT: https://www.virustotal.com/#/file/0664c46691135a3d6015354e0f0c54fd09fed20ab5b8b2582c799dfe35d2dd69/details” |
Także w tej wersji liczba kliknięć w link bit.ly sugeruje, że tylko analitycy skutecznie wydobyli adres pliku, który miał robić Wam krzywdę.
Był także trzeci link:
1 | https://fs12n4.sendspace.com/dl/9b801d3bee92478a98716f242981d92d/5bbdbc5d4ee0dc18/dzgd8l/Sk%C5%82adki%20na%20dzien%202018.10.10.zip |
W tym pliku ZIP krył się znany z pierwszej iteracji plik SKAN 2018.10.10.doc, tak samo uszkodzony i nieaktywny.
Podsumowując ten kawałek analizy – autor wyprodukował trzy różne linki, prowadzące do trzech różnych plików, zawierających dwa różne dokumenty, których zadaniem było atakowanie Waszego nieaktualnego Worda. Żaden z plików nie zadziałał zgodnie z jego oczekiwaniami.
Co miało czekać na końcu?
Gdyby działania napastnika były skuteczne, na komputerach ofiar zostałby uruchomiony plik wykonywalny. W obu zaobserwowanych wersjach zawierał on konia trojańskiego z rodziny Kronos, posiadającego budowę modułową i umożliwiającego przejęcie kontroli na komputerem ofiary, korzystającego z serwera C&C w sieci Tor. Dalsza analiza pokazuje, że z kolei Kronos pobiera między innymi ransomware GandCrab. Na szczęście wygląda na to, że tylko nam udało się go uruchomić 😉
źródło: zaufanatrzeciastrona.pl
Więcej informacji:
Nowa kampania oszustów – wiadomość „Zadłużenie” od firmy Kruk
Uwaga na SMS-y proszące o dopłatę 1 PLN
Uwaga na sprytny atak z RODO i Acrobat Readerem w tle
Najnowsza kampania e-mailowych oszustów „Paczka czeka”
Co można wyciągnąć ze smartfona pracownika lub podejrzanego?
Adresy e-mail 300 tysięcy klientów Militaria.pl mogły wyciec do sieci
Uwaga na nowy przekręt na OLX: kod rabatowy od sprzedającego- * Masz Della? Uważaj na prawdziwą aktualizację Windowsa 10!
![[AKTUALIZACJA] Polacy otrzymali złośliwe e-maile od “Profil Zaufany”](https://plikcenter.pl/Producent_IT/wp-content/plugins/wordpress-23-related-posts-plugin/static/thumbs/16.jpg)
[AKTUALIZACJA] Polacy otrzymali złośliwe e-maile od “Profil Zaufany”
Wyciekły dane tysięcy osób korzystających z porad prawnych online. Bardzo wrażliwe dane.