404 keylogger

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу документ .rtf

Зразок електронного повідомлення:

Детальний опис:

У вкладенні листа знаходиться документ .rtf який містить декілька ole-об’єктів з макросами.

Вкладені макроси містять VBA-скрипти в результаті виконання яких запускається powershell.exe і завантажується, використовуючи сервіс коротких посилань bit.ly,  із хмарного сховища s.put.re виконуваний шкідливий файл nat.txt. Шкідливий виконуваний файл є екземпляром 404 keylogger який зберігається в системі та запускається на виконання як 4235.exe.

Після запуску зловмисне ПЗ збирає інформацію про систему і користувача, зберігає її в файл C:\Users\user_name\Documents\A_________.txt та передає на сервер ftp://ftp.metris3d.hu.

Також відбувається звернення до сервісу paste.ee де знаходиться в закодованому вигляді скрипт який створює шкідливий виконуваний файл з додатковим функціоналом.

404 keylogger – відносно новий вид шкідливого програмного забезпечення яке розповсюджується розробниками під виглядом сервісу, що допомагає слідкувати за роботою офісних працівників організації. Насправді є кейлогером який не тільки може збирати дані введені з клавіатури, але й робити знімки робочого столу, збирати інформацію про систему (ІР адреса, версія ОС) та користувача (інформацію з браузерів та поштових клієнтів), а також завантажувати та встановлювати додаткове зловмисне  ПЗ.

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.rtf  –>  WINWORD.EXE –>  ole-object –> vba-script –>  url –>  *.exe  –> #404 keylogger

Механізм роботи:

Індикатори кіберзагроз:

IP адреси з якої проводиться розсилання

     163.172.65.147
     88.99.160.141

     Sender - office@puhaipartnery.com.ua
     Email Subject - Олексій Пухай та Партнери - PI3-1251

Main object- "5098154dedc2488444d07952083eebe88c86fdbe.rtf"

     sha256      0deca59fbb09af397ae830bf8053f959cf78f7da880d1c1751e2e80779f620c5
     sha1           5098154dedc2488444d07952083eebe88c86fdbe
     md5           fd3789a0da2b35db6619fd461ba9af03

Dropped executable file

     sha256      C:\Users\admin\AppData\Local\Temp\4235.exe      77adef4925cf6b70dedba242d4bb1fceca47e60151309e6b96fab7fa05a1b024

DNS requests

     domain      bit.ly
     domain      s.put.re
     domain      ftp.metris3d.hu
     domain      paste.ee
     domain      checkip.dyndns.org

Connections

      ip     67.199.248.10
      ip     104.27.142.252
      ip     104.18.48.20
      ip     131.186.113.70
      ip     91.82.85.66

HTTP/HTTPS requests

      url      hxxp://bit.ly/2P7EoT7
      url      hxxp://checkip.dyndns.org/