Зловмисне програмне забезпечення Netwire RAT

Повідомляємо, що відбувається розсилання шкідливих електронних листів, що містять вкладення типу документ .rtf

Детальний опис:

У вкладенні листа знаходиться шкідливий документ ***.rtf що містить OLE-об'єкт (Microsoft Equation 3.0), який експлуатує вразливість CVE-2017-11882 для завантаження зразка шкідливого файлу типу Netwire RAT.

Після відкриття документу шляхом експлуатації вказаної вразливості відбувається завантаження виконуваного файлу за посилання http://achpanel.top/billisolo/billisolo.exe, його збереження в C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\billisolo[1].exe та запуск. Після запуску зловмисне ПЗ ініціює з’єднання із С&C сервером bilimoney.ddns.net (185.140.53.61 : 39469) для передачі зібраної інфомації та отримання подальших команд.

Netwire RAT – це зловмисне програмне забезпечення, яке використовується для дистанційного керування зараженим ПК. Може здійснити більше 100 шкідливих дій на заражених ПК, записувати інформацію введену з клавіатури та поведінку миші, робити знімки екрана, перевіряти інформацію про систему та створювати підроблені проксі-сервери HTTP, викрадати дані із пристроїв, підключених до зараженої машини, таких як банківські USB-токени, дозволяючи Netwire здійснювати POS-атаки. Netwire може атакувати різні системи, включаючи Windows, MacOS Apple і Linux.

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.rtf  –>  WINWORD.EXE –>  ole-object  –>  url –>  *.exe  –> #Netwire RAT

Механізм роботи:

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

     62.149.223.89

SMTP Sender

     progettazione@ascani.it

Email Subject

    SWIFT ET AVIS DE DEBIT USD 13 693.34

Main object - "MT103-75848.doc.rtf"

     sha256 c9b7eb6f3774b6962cf4c91710fff389a3a349e55bdfd50f38d35311d1ea663a
     sha1 3b59eb5a0e9c8999165ac66e849dc2a4aaab3143
     md5 173680c40c74d068899a719d3a7b65e6

Dropped executable file

     sha256 C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\billisolo[1].exe    
     c3590b6fbac26c942768169d12b0001135db56f1456c35269411e86e91668557

DNS requests

     domain     bilimoney.ddns.net
     domain     achpanel.to

Connections

      ip    185.140.53.61
      ip    162.144.128.116

HTTP/HTTPS requests

      url      hxxp://achpanel.top/billisolo/billisolo.exe