Електронні розсилання з вкладеними сценаріями javascript
Результати аналізу шкідливого ПЗ "рах_фак_27_02_2019р..lzh"
Архів містить 2 файли:
1) "рахунки до оплати от 27.02.2019р..js" – шкідливий js-скрипт
MD5 22f1b7c2a931267430318885b0a9df56
2) "Акции февраль 2019.xlsx" – не є шкідливим, для відволікання уваги.
MD5 9bde0ba25f5fa06bfa231aa5f0d7e627
Поштовий лист –> lzh-архів –> java-скрипт (*.js) –> injection in explorer.exe -> exe-файл –> Spyware/Evader
Механізм роботи:
Після запуску "рахунки до оплати от 27.02.2019р..js" відбувається завантаження url hxxp://pomulaniop[.]icu/iman/lico.exe
з ip-адреси 89.223.95.214 шкідливого виконуємого файлу
"560680.exe"
MD5 4eca377a1a58d3052b9339dd085266b4
Filetype PE32 executable (GUI) Intel 80386, for MS Windows
Mimetype application/x-dosexec
після його запуску відбувається ін'єкція шкідливого коду в explorer.exe
та перезапис до C:\Users\user\AppData\Roaming\Microsoft\Windows\cvcsvtbj\dtevaaaa.exe,
а також запуск та ін'єкція шкідливого коду до інших процесів від імені explorer.exe .
Поведінка шкідливого ПЗ:
Намагається зібрати та вкрасти інформацію Putty / WinSCP (сесії, паролі тощо).
Намагається зібрати та вкрасти інформацію з браузеру (історія, паролі тощо).Намагається вкрасти e-mail облікові дані (через доступ до файлів).
Індикатори кіберзагроз:
Main object- "рахунки до оплати от 27.02.2019р.js"
sha256 0d3d88a55fa57d41938589f91fa848da40553d7470924cd78fb1f1f893a486e0
sha1 261f6ee7eaf85cdbfdca8947dc56c14f15210e4f
md5 22f1b7c2a931267430318885b0a9df56
Dropped executable file
sha256 C:\Users\admin\AppData\Roaming\Microsoft\Windows\Templates\338771.exe 968b6d5c82704e0975c2ad618586a170b67545fc7d34d78aec1e14ca73a447c1
MD5 4eca377a1a58d3052b9339dd085266b4
Filetype PE32 executable (GUI) Intel 80386, for MS Windows
Mimetype application/x-dosexec
Connections
ip 89.223.95.214 завантаження
ip 5.23.52.148 завантаження
ip 185.193.141.250 C2
HTTP/HTTPS requests
url hxxp://pomulaniop[.]icu/iman/lico.exe