Спостерігається розсилання шкідливих електронних листів

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу документ .rtf

AveMaria - це відносно нове зловмисне програмне забезпечення (info stealer & keylogger), яке з’явилося доволі раптово наприкінці минулого року 2018 року.
Зловмисники надсилають електронні листи, що імітують листи від існуючих організацій, надсилаючи рахунки-фактури та підтвердження замовлень. Передається шкідливий файл Excel або Word, що експлуатує популярну вразливість CVE-2017-11882 для запуску виконуваного файлу, що завантажується з шкідливого веб-сайту, який раніше був зламаний зловмисниками.

Домени, які використовуються для передачі зловмисних повідомлень, залишалися активними лише кілька днів, це стандартний час який необхідно для поширення фішингових-електронних листів.

Детальний опис:

У вкладенні листа знаходиться документ .rtf, що містить декілька ole-об’єктів, використовуючи які, за допомогою експлуатації вразливості редактора формул CVE-2017-11882, створюється та запускається виконуваний шкідливий об’єкт C:\Users\admin\AppData\Local\Temp\ldin.exe, що є екземпляром зловмисного ПЗ AVE Maria infostealer яке викрадає персональні дані користувача (платіжних карток та крипто гаманців). Шкідливий об’єкт зчитує ключ з реєстру HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography і використовуючи Component Object Model (COM) експлуатує процес C:\Windows\system32\DllHost.exe для створення копії в директорії автозапуску C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Nomem8.exe. Після закріплення в системі виконується комунікація з С&C сервером ІР 79.134.225.115:3303. Характерною особливістю цього шкідливого ПЗ є можливість використання інструментів WMI і розповсюдження за допомогою змінних носіїв.

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.rtf –>  EQNEDT32.exe –>   ole-object –>  *.exe  –> #AVE Maria

Механізм роботи:

My alt text

Індикатори кіберзагроз:

     Message_from: express-plus@yandex.ru
     Subject: FW:_Платежное_уведомление_№_105_/_09.10.2009

Main object - "2ad5a3612738fe4c8bfd6f10a5876ace434a1181.rtf"

     sha256      876caa26f9f70fb04c89c4c63c53bdac1ebd31236e863ed689a865d8cfc5ee6c
     sha1         2ad5a3612738fe4c8bfd6f10a5876ace434a1181
     md5          7657f3784b718641c028716fbf6ca3e2

Dropped executable file

     sha256      C:\Users\admin\AppData\Local\Temp\ldin.exe 2524e1fca051374e6bdef56efbc9d8a0dc28cfe50fc39fcd501ab4a70ee2136a

Connections

     ip 79.134.225.115 С2