Фейкове розсилання від імені "ДФС України"

Повідомляємо, що відбувається масове розсилання шкідливих фейкових електронних листів від імені Державної фіскальної служби України, що містить msword документ з VBA-макросами. Дане розсилання ідентичне з розсиланням, що було описане раніше в опублікованому аналізі - Фейкове розсилання від імені "НАЗК".

Зразок електронного повідомлення:

example_mail

Детальний опис:

У вкладенні листів знаходиться msword документ постанова_29_07_2019.doc, що містить VBA-макроси.

При відкритті документу постанова_29_07_2019.doc відбувається виконання коду VBA-макросів в результаті чого за допомогою powershellвідбувається завантаження (через https) та виконання допоміжних шкідливих файлів без збереження у файлову систему та з ігноруванням валідності ssl-сертифікату:

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.doc  –>  VBA-macros –>  powershell –> GET URL  –> ***.exe  –>  #Exploiter&Evader&Trojan

Індикатори кіберзагроз

IP адреса з якої проводиться розсилання

   210.152.150.102
   210.134.90.68
   210.134.90.65
   210.134.90.8
   49.212.208.185
   121.119.192.107
   114.147.35.11
   202.45.165.115
   183.182.37.88
   119.82.27.161
   125.206.225.118
   111.89.142.225
   153.153.62.8
   153.120.12.244
   133.130.67.45
   1.33.170.70
   119.245.141.155
   153.122.142.17
   153.126.190.118
   195.191.149.22
   203.183.93.66
   125.206.171.232

Main subject - ".doc"

   sha256 a8a871a7fd95a60f8481ccba980ab1b07e0027729de004aa7b4c1a8b9511f2d8
   sha1     88994f89cdfab26cb6f46a1da5331384f2c4834a
   md5      87c6e0daabe6f71a86f3a9c24a090944

DNS requests

   domain 58.194.227.23.in-addr.arpa

Connections

   ip 23.227.194.58 C2