Розсилання шкідливих електронних листів

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу .doc. Звертаємо увагу, що при розсиланні листів відбувається імітація листування з комерційними організаціями, шляхом підставлення заголовків організації, при цьому назва вкладеного файлу може відрізнятись.

Зразок електронного повідомлення:

Детальний опис:

Вкладені шкідливі документи MS Office Word містять макроси, що запускають powershell-скрипт який містить декілька посилань для завантаження екземпляру зловмисного трояна EMOTET.  При відкритті документів відбувається завантаження шкідливого виконуваного файлу, збереження його в системі, перезапуск під іншим ім’ям і з іншої локації C:\Users\admin\AppData\Local\serialfunc\serialfunc.exe, додавання до автозапуску шляхом зміни відповідного системного регістру. Після закріплення в системі вібдувається комунікація з C2- серверами. Основна мета – це крадіжка облікових даних користувача від систем банківського обслуговування.  

My alt text

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  DOC-файл -> macros  -> powershell-script -> GET URL –>  EMOTET

My alt text

Механізм роботи:

 

My alt text

Індикатори кіберзагроз:

Main object- "Payment Advice Note.doc"
sha256           e56932f1735ef1bd08a0fa4b971ea1827122d4766ec08a52823feaca8bba4f6c
sha1                 7189b62b14d3530d9f1a7b5fe1205cde60c16157
md5                 c6d4d8785cd33bac5056ac9be75c2c60

Dropped executable file

k5lvz_8.exe

sha256           f85ab39f89f8bfe9437c74b1b6d020efbccbb90c0ba6d514eeeec6b5fccf3e0b
sha1                 b6fcb8e1040e9847462d4e123074b679e4185bb0
md5                 d7cdf8df12527e1396a82e8dfe6a8807

C:\Users\admin\AppData\Local\serialfunc\serialfunc.exe  

sha256           f85ab39f89f8bfe9437c74b1b6d020efbccbb90c0ba6d514eeeec6b5fccf3e0b

Connections

ip                   192.225.231.37      завантаження завантаження Emotet
ip                   222.239.249.166    C&C
ip                   217.26.163.82        C&C
ip                   91.205.173.54        C&C

HTTP/HTTPS requests

hxxp://www.xxoo.tm/ckplayer/VIdCDDMe/
hxxp://karanrajesh.london/wp-includes/customize/q4z-y23-6153/
hxxp://chasem2020.com/wp-content/gZGommkN/
hxxp://math.pollub.pl/km/wp-content/plugins/no-comments-on-pages/5su-khkh2m-84/
hxxp://wodfitapparel.fr/wp-content/themes/fagri/oKNuyQlfR/

Changes the autorun value in the registry

key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
name: serialfunc
operation: write
typeValue: REG_SZ
value: "C:\Users\admin\AppData\Local\serialfunc\serialfunc.exe"