Чергова кампанія розсилання електронних листів з шифрувальником

My alt text

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять .pdf документ.

 Зразкок електронного повідомлення:

My alt text

 

Детальний опис:

У вкладенні листа знаходяться .pdf документ, що містять посилання ( hххp://linoplast.ua/docs/cache/slavneft.zakaz[.]zip) на завантаження із мережі архіву із шкідливим хххх.js (java-скрипт).

My alt text
My alt text

Після запуску сценарію відбувається звернення до інструменту командного рядка та завантаження шкідливого виконуваного файлу за посиланнями:

hххp://wcf-old.sibcat.info/messg[.]jpg та подальший запуск як C:\Users\admin\AppData\Local\Temp\radAD25D.tmp.

Шкідливий виконуваний файл radAD25D.tmp є зразком  Ransomware/Troldesh, який в результаті функціонування створює виконуваний файл у C:\ProgramData\Windows\csrss.exe

та додає його до автозапуску змінюючи відповідний реєстр. Шляхом звернення до веб-ресурсу здійснює перевірку ІР-адреси та завантаження крипто-бібліотек для подальшого шифрування.

Також відбувається завантаження файлів-інструкцій README.txt із зовнішніх веб-ресурсів,  запускається утиліта тіньового копіювання томів C:\Windows\system32\vssadmin.exe та утиліта зміни програмного коду C:\Windows\system32\chcp.com.

Після закінчення процесу шифрування на екран виводиться повідомлення про зашифрування, а на робочому столі розміщуються файли інструкцій.

My alt text

Після зашифрування файли корисувача мають такий вигляд:

My alt text

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  .pdf документ –> URL –> архів .zip  –>  java-скрипт (.js)  –>  exe-файл –> Trojan/Ransomware/Troldesh

My alt text

 

Механізм роботи:

My alt text

My alt text

Індикатори кіберзагроз:
IP адреса із якої  проходить розсилання:
187.210.103.18

Main object- "ххххх.js"

MD5:

0b93056bb5ba5e8fb2f414a4f1573a52

SHA1:

78400c269bfb666a8759707b115bed237eb0be88

SHA256:

de51e8f3b7a259080ef789f91849a9ad9fbb1cb3ef6e1f6500eec230bdf1ad26

  Dropped executable file

sha256C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0UU90R59\messg[1].jpg          a8c452946e291216b7bba41b8e7f9a3eb5ee9178c9559e4b5017ed832d90b94f        

DNS requests         
domain       linoplast[.]ua         
domain       wcf-old.sibcat[.]info         
domain       www.palmomedia[.]de              
domain       whatismyipaddress[.]com          
domain       whatsmyip[.]net     

Connections         
ip      185.104.45.70               
ip      91.194.91.201               
ip      154.35.32.5         
ip      92.127.158.64               
ip      104.16.155.36               
ip      128.31.0.39         
ip      77.87.49.6           
ip      192.42.113.102             
ip      86.59.21.38         
ip      136.243.39.148             
ip      104.18.35.131      

HTTP/HTTPS requests         
url     hххp://linoplast.ua/docs/cache/slavneft.zakaz[.]zip         
url     hxxp://wcf-old.sibcat.info/messg[.]jpg         
url     hxxp://whatismyipaddress[.]com/               
url     hxxp://whatsmyip[.]net/ 

Key registry      
key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name:  Client Server Runtime Subsystem
operation: write
typeValue: REG_SZ
value: "C:\ProgramData\Windows\csrss.exe"