Електронні розсилання з вкладеними сценаріями javascript

My alt text

Результати аналізу шкідливого ПЗ "рах_фак_27_02_2019р..lzh"

Архів містить 2 файли:

1) "рахунки до оплати от 27.02.2019р..js" – шкідливий js-скрипт

MD5 22f1b7c2a931267430318885b0a9df56

2) "Акции февраль 2019.xlsx" – не є шкідливим, для відволікання уваги.

MD5 9bde0ba25f5fa06bfa231aa5f0d7e627

Поштовий лист –> lzh-архів –> java-скрипт (*.js) –> injection in explorer.exe -> exe-файл –> Spyware/Evader

My alt text

Механізм роботи:

My alt text

Після запуску "рахунки до оплати от 27.02.2019р..js" відбувається завантаження url hxxp://pomulaniop[.]icu/iman/lico.exe

з ip-адреси 89.223.95.214 шкідливого виконуємого файлу

"560680.exe"

MD5 4eca377a1a58d3052b9339dd085266b4

Filetype  PE32 executable (GUI) Intel 80386, for MS Windows

Mimetype application/x-dosexec

після його запуску відбувається ін'єкція шкідливого коду в explorer.exe

та перезапис до C:\Users\user\AppData\Roaming\Microsoft\Windows\cvcsvtbj\dtevaaaa.exe,

а також запуск та ін'єкція шкідливого коду  до інших процесів від імені explorer.exe .

Поведінка шкідливого ПЗ:

Намагається зібрати та вкрасти інформацію Putty / WinSCP (сесії, паролі тощо).

Намагається зібрати та вкрасти інформацію з браузеру (історія, паролі тощо).Намагається вкрасти e-mail облікові дані (через доступ до файлів). 

Індикатори кіберзагроз:

Main object- "рахунки до оплати от 27.02.2019р.js"

        sha256        0d3d88a55fa57d41938589f91fa848da40553d7470924cd78fb1f1f893a486e0       

        sha1 261f6ee7eaf85cdbfdca8947dc56c14f15210e4f

        md5 22f1b7c2a931267430318885b0a9df56  

Dropped executable file

        sha256        C:\Users\admin\AppData\Roaming\Microsoft\Windows\Templates\338771.exe        968b6d5c82704e0975c2ad618586a170b67545fc7d34d78aec1e14ca73a447c1

MD5 4eca377a1a58d3052b9339dd085266b4

Filetype  PE32 executable (GUI) Intel 80386, for MS Windows

Mimetype application/x-dosexec

Connections

        ip     89.223.95.214    завантаження

        ip 5.23.52.148            завантаження

        ip 185.193.141.250     C2

HTTP/HTTPS requests

        url    hxxp://pomulaniop[.]icu/iman/lico.exe