Złośliwy plik celuje w Polaków. W tle Białoruś i politycy

Cyberprzestępcy wciąż próbują nowych metod uzyskania nieuprawnionego dostępu do infrastruktury. Phishing niezmiennie pozostaje atrakcyjny. Tym razem postanowili wykorzystać plik w formacie .chm - Microsoft Compiled HTML Help. Załącznik nazywał się „deklaracja.chm” i próbował podszyć się pod potwierdzenie zapłaty z dużego polskiego banku. Ten przypadek idealnie pokazuje, że warto unikać nieznanych rozszerzeń plików.

Malware wycelowany w Polaków

11 lipca br. osoba o pseudonimie „dmpdump” opisała kampanię. Plik w formacie .chm jest obsługiwany przez systemowy plik hh.exe, służący do wyświetlania pomocy HTML. Użytkownikowi wyświetla się jedynie obraz z pliku „deklaracja.png”.

Pliki z prefiksem „#” to standardowe pliki formatu CHM. „Pozostałe pliki są złośliwe i inicjują łańcuch infekcji, który zapisuje na dysku, rozpakowuje i uruchamia downloadera napisanego w C++” – stwierdzono w artykule.

Złośliwe pliki

Oprócz wspomnianych plików z hashtagami, wyróżniono:

• index.htm – plik z obfuskowanym (trudnym do odczytania, "zamaskowanym") skryptem JavaScript;
• desktop.mp3 – plik zawierający payload w formacie DLL;
• deklaracja.png – obraz fałszywej faktury.

Co ciekawe, plik w formacie .png ma dotyczyć opłacenia składki członkowskiej dużej polskiej partii politycznej. Nie ma jednak dowodów ku temu, że operacja była wymierzona w polityków.

Działanie malware'u

Finalnym działaniem złośliwego pliku .chm jest pobranie payloadu z pliku .jpg z Internetu. Autorowi artykułu nie udało się uzyskać wspomnianego payloadu, choć dotarł do samego obrazka. Zainteresowanych technicznymi aspektami (w tym IOC) odsyłamy do artykułu.

Pliki hostowane na tej samej domenie co zdjęcie nosiły nazwy „dowód_wpłaty.zip” czy „dowod.chm”, co pokazuje szerszą kampanię. Autor opracowania stwierdził, że działania przypominają aktorów UNC1151 czy FrostyNeighour, powiązanych z Białorusią. Warto przy tym dodać, że UNC1151 aktywnie wykorzystywało podatności w Roundcube, o czym ostrzegał CERT Polska.

VirusTotal

Analiza IOC (indicators of compromise, dosł. wskaźników przełamania zabezpieczeń) na portalu VirusTotal wskazuje, że:

• ponad połowa silników antywirusowych (33 z 62) rozpoznaje hash pliku „deklaracja.chm" jako złośliwy;
• większość powyższych detekcji wskazuje tzw. trojana;
• po raz pierwszy plik został zauważony 30 czerwca br.;
• domena służąca do pobierania pliku .jpg z finalnym payloadem bywa uważana za złośliwą przez 15 z 94 silników.

Możemy również dostrzec, że domena zawierająca finalny payload faktycznie była wykorzystywana przez trzy omawiane wcześniej pliki.

Plik „desktop.mp3” był rozpoznany jako złośliwy przez 39 z 63 silników oraz jest plikiem w formacie .cab (cabinet), używany m.in. w instalatorach od Microsoftu, pomimo rzekomego wyglądu pliku muzycznego. Jednocześnie DLL-ka obecna w nim jest rozpoznana jako złośliwa przez 72% silników oraz wskazuje na trojana powiązanego z FrostyNeighbour. Jej analiza jest dostępna w formacie PDF dzięki JoeSandbox.

Zachowaj czujność

Po przeczytaniu artykułu nasuwa się prosta, lecz ważna konkluzja – nie należy ufać formatom plików, których nie znamy. Jednocześnie wygląda na to, że złośliwe oprogramowanie było dystrybuowane poprzez phishing.

Nie wiadomo czy wątek polityczny odgrywa dużą rolę podczas działań cyberprzestępców. Skontaktujemy się z odpowiednimi organizacjami i służbami, aby to ustalić.

Przypominamy: incydenty warto zgłaszać do CERT Polska.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].