Фейковий лист від імені DHL Express з вмістом шкідливої програми


Рівень загрози: СЕРЕДНІЙ

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .rtf (Rich Text Format - розширений текстовий формат). Даний лист замаскований під офіційну розсилку DHL Express. Вкладений документ експлуатує відому вразливість та завантажує зразок шкідливого програмного забезпечення типу #FormBook.


Formbook - це шкідливе пз, ціль якого викрадення паролів. Також зловмисна програма має механізм завантаження і відкриття файлів, запуск процесів, завершення роботи і перезавантаження системи. Зловмисники використовують адреси електронної пошти та теми, які спонукають користувача читати електронну пошту та відкривати вкладення, тому будьте уважними.

Механізм роботи:

stage 2

Детальний опис:

Шкідливий документ ***.rtf містить OLE-об'єкт (Microsoft Equation 3.0), який експлуатує вразливість CVE-2017-11882 для завантаження зразка шкідливого файлу типу Formbook.

При відкритті документу ***.rtf відбувається запуск EQNEDT32.EXE та завантаження за допомогою утіліти bitsadmin.exe служби BITS* з ip-адреси 94.232.173.149 шкідливого виконавчого файлу через посилання hxxps://dl.asis.io/9Nn4YxSc.htaa

*Служба фонової інтелектуальної передачі даних Windows (BITS) - це асинхронний механізм передачі файлів з низькою пропускною спроможністю, що викликається через об'єктну модель компонента (COM).
BITS зазвичай використовують оновлювачі, месенджери та інші програми, які працюють у фоновому режимі (використовуючи доступну пропускну здатність), не перериваючи інші мережеві програми. Завдання передачі файлів реалізуються, як завдання BITS, які містять чергу з однієї або декількох файлових операцій.

Зловмисний файл завантажується до C:\Users\user~1\AppData\Local\Temp\Iu.Exe та запускається на виконання, після чого відбувається ін'єкція шкідливого коду в системний процес explorer.exe
від імені якого відбувається запуск службових програм (одна або декілька) з каталогу System32 (cmd, help тощо) та firefox.exe.

Поштовий лист –> rtf-файл –> EQNETD.EXE –>BITSADMIN.EXE (get url) –> FORMBOOK(exe) –> explorer.exe –> ***.exe –> firefox.exe –>Exploiter&Spyware

Даний зразок Formbook прописується до автозавантаження HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,
та прописується до C:\Program Files\Mibcd\IconCacheppx.exe
Викрадає облікові дані користувачів з інтернет-браузерів, почтових клієнтів та відправляє їх у зашифрованому (кодованому) вигляді на адреси С2-серверів через HTTP методом POST.Індикатори кіберзагроз:

IP-адреси з якої надходять листи:
5.9.22.8

Main object- "17f77a4792dbf0cd4cea3e4c991ff5a66bffa415.rtf"
sha256 f5d2278188045d32bb9613199c6da27a08e8871bde96ef41567e5092e9598274
sha1 17f77a4792dbf0cd4cea3e4c991ff5a66bffa415
md5 2349725ce918d3f31a1483b22575712d
DNS requests
domain dl.asis.io
Connections
ip 94.232.173.149 завантаження Formbook

Main object- "Iu.Exe"
sha256 a64c8a0bf2072842536dce83d18f6aa4d14882f50b25715d1360fb33a96b86d1
sha1 eea1dd450fe892d1c41651fdaf4e485c2b81be9e
md5 766b1869788d710221d5f2227779ef15
Dropped executable file
sha256 C:\Users\admin\AppData\Local\Temp\Mibcd\IconCacheppx.exe a64c8a0bf2072842536dce83d18f6aa4d14882f50b25715d1360fb33a96b86d1DNS requests
domain www.jaxsaltwaterfishing.com
domain www.aseparatebranch.com
domain www.festivalluminisonore.com
domain www.wedding-business.com
domain www.itmotorizedscooterok.live
domain www.toutsimplementjulie.com
domain www.jikariru.com
domain www.krahmofficial.com
domain www.skiphireinabox.site
domain www.xulayomb.com
domain www.wingateneindiana.com
domain www.wwwunpologeticallyabriana.com
domain www.illkinetic.onlineConnections
ip 198.54.117.216
ip 184.168.221.37
ip 160.153.136.3
ip 46.23.69.44
ip 107.180.51.84
ip 52.40.80.250
ip 50.63.202.52
ip 199.192.24.186
ip 192.0.78.25HTTP/HTTPS requests C2-сервери
url hxxp://www.jaxsaltwaterfishing.com/ki/?KdJlCP=LiLYH4A7vPp8kORLjyU/LGgAee1lLshEj6N8yCfiIb/Tq9SBRv4Dui2kxv6yoE6h8Dra6A==&ndqx=U4Nh
url hxxp://www.skiphireinabox.site/ki/
url hxxp://www.wedding-business.com/ki/?KdJlCP=vMaBapklIa6uXGELDkfYUpkdtnd3BxZ0aWCAAt56QUjRBaCSwL0dtGoVEvDctHnh2Iu7vg==&ndqx=U4Nh&sql=1
url hxxp://www.wedding-business.com/ki/
url hxxp://www.aseparatebranch.com/ki/?KdJlCP=547cJ9IU2s9rZ+gABKIohAJy4YrfK1JQp5xjzht4m9CHpxQmoSs1nVrAxliqbygoL5pHDw==&ndqx=U4Nh&sql=1
url hxxp://www.aseparatebranch.com/ki/
url hxxp://www.skiphireinabox.site/ki/?KdJlCP=XAvyBoICgNDjeDxtqoN4ypt39wJpcW0Orf6TZCcQxU/Kx/W+E56Wdi+FNg70XqC2PnPOsg==&ndqx=U4Nh&sql=1
url hxxp://www.toutsimplementjulie.com/ki/
url hxxp://www.toutsimplementjulie.com/ki/?KdJlCP=MFJlLDrpjeDLTgv6MpsP6YHqw2cYYuY9fPPMs9dLDF4kJsiN2TJfPt5TEKzNarOeQJeDJQ==&ndqx=U4Nh&sql=1
url hxxp://www.itmotorizedscooterok.live/ki/?KdJlCP=7Eg/jCGanynzGB5H5BkwnvAAyv6tKxscpFHc2NzWnSxm9VxpRrNorki1ezOTQV0b+g3AmA==&ndqx=U4Nh&sql=1
url hxxp://www.wingateneindiana.com/ki/?KdJlCP=VrVVnx5JMRxCuOJs7b2ONxIU4eUlX6R4nUVdnV0bNYBzH8oS7tcV68sro93g/lJ2F+zSHg==&ndqx=U4Nh&sql=1
url hxxp://www.itmotorizedscooterok.live/ki/
url hxxp://www.xulayomb.com/ki/
url hxxp://www.wingateneindiana.com/ki/
url hxxp://www.xulayomb.com/ki/?KdJlCP=iEAjBV2JamJRcLUOBHkgkd8TN+fQpWpJFeLF5lva1zVCfilRFBrnpDAoMYceggW3tLPa8A==&ndqx=U4Nh
url hxxp://www.wwwunpologeticallyabriana.com/ki/
url hxxp://www.wwwunpologeticallyabriana.com/ki/?KdJlCP=yLq26erwlFk+GqgYyGx0KVLuKr/daKHbhafRmecvsbfIYnJ+4dciY3W5hNrU079/2fG94A==&ndqx=U4NhKEY registry

key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name: ZHL44ZIXMD
typeValue: REG_SZ
value: C:\Program Files\Mibcd\IconCacheppx.exe