Фейкове розсилання від імені "ДФС України"
Повідомляємо, що відбувається масове розсилання шкідливих фейкових електронних листів від імені Державної фіскальної служби України, що містить msword документ з VBA-макросами. Дане розсилання ідентичне з розсиланням, що було описане раніше в опублікованому аналізі - Фейкове розсилання від імені "НАЗК".
Зразок електронного повідомлення:

Детальний опис:
У вкладенні листів знаходиться msword документ постанова_29_07_2019.doc, що містить VBA-макроси.

При відкритті документу постанова_29_07_2019.doc відбувається виконання коду VBA-макросів в результаті чого за допомогою powershellвідбувається завантаження (через https) та виконання допоміжних шкідливих файлів без збереження у файлову систему та з ігноруванням валідності ssl-сертифікату:

Рівень загрози: СЕРЕДНІЙ
Поштовий лист –> *.doc –> VBA-macros –> powershell –> GET URL –> ***.exe –> #Exploiter&Evader&Trojan
Індикатори кіберзагроз
IP адреса з якої проводиться розсилання
210.152.150.102
210.134.90.68
210.134.90.65
210.134.90.8
49.212.208.185
121.119.192.107
114.147.35.11
202.45.165.115
183.182.37.88
119.82.27.161
125.206.225.118
111.89.142.225
153.153.62.8
153.120.12.244
133.130.67.45
1.33.170.70
119.245.141.155
153.122.142.17
153.126.190.118
195.191.149.22
203.183.93.66
125.206.171.232
Main subject - ".doc"
sha256 a8a871a7fd95a60f8481ccba980ab1b07e0027729de004aa7b4c1a8b9511f2d8
sha1 88994f89cdfab26cb6f46a1da5331384f2c4834a
md5 87c6e0daabe6f71a86f3a9c24a090944
DNS requests
domain 58.194.227.23.in-addr.arpa
Connections
ip 23.227.194.58 C2