Розсилання шкідливих електронних листів #COVID19

Зафіксовано розсилання електронних листів, що замасковані під щоденний звіт COVID-19 та рекомендовані міри захисту від пандемії. Розсилання проводилось від імені доменів fonasba.com та tgi.com. За допомогою цих листів відбувається доставка шкідливого програмного забезпечення AveMaria.

Зразок електронного повідомлення:

Детальний опис:

Всі отримані листи містили подібні шкідливі вкладення, а саме rtf документи, що в свою чергу у футері документу містять 10 однотипних ole-об’єктів типу Exel.SheetMacroEnabled.12:

У випадку відкриття шкідливого файлу відбувається автоматичне відпрацювання макросу (AutoExec), що містяться у цих ole-обєктах.

Шляхом зчитування значення клітинки H134 аркушу qwKmT (близько 3,75 кб) та його перекодуванням, макрос здійснює формування обфускованої команди та передає її на виконнаня у прихований екземпляр powershell.exe:

Особливістю виконання даної команди є те, що вона вимикає механізм AMSI шляхом виправлення у пам’яті. Anti Malware Scan Interface це універсальний інтерфейс для додатків, який дозволяє звертатися до встановлених антивірусних програмних засобів для додаткової перевірки процесів на більш глибокому рівні (доступний у Windows 10). AMSI обробляє всі команди в PowerShell з метою блокування підозрілих та зловмисних, використовуючи при цьому строкову фільтрацію. Є декілька шляхів обходу механізмів захисту AMSI, які необхідно виконати перед виконанням зловмисної команди, шляхом компіляції спеціальної бібліотеки та завантаженням її коду в сесію PowerShell.

За результатами виконання команди відбувається завантаження з ресурсу http://unlimitedimportandexport.com шкідливого виконуваного файлу та його запуск. Цей файл є екземпляром шкідливого шпигунського ПЗ AveMaria (info stealer & keylogger), яке викрадає персональні дані користувача (логіни та паролі, дані авторизації сесій, платіжних карток та крипто гаманців, тощо). Характерною особливістю цього шкідливого ПЗ є можливість використання інструментів WMI і розповсюдження за допомогою змінних носіїв.
Під час відпрацювання зловмисне програмне забезпечення перезапускає себе декілька разів, а також здійснює ін’єкцію коду у інший процес.
Закріплення у системі відбувається шляхом додавання в автозавантаження:

Рівень загрози: СЕРЕДНІЙ

Поштовий лист  –>  *.rtf –>   ole-object –> macros –> powershell.exe  –>  *.exe  –> #AveMaria

Механізм роботи:

Дерево процесів (загальне)

Дерево процесів (AveMaria)

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

    103.125.190.246
    89.40.115.43

Main objects

FINLAND UPDATE 04.06.2020.doc

     sha256     b557edeb7c35a0545e780cfea1b057ed73a8835cbd80fc3534bf6b1da89975b1
     sha1         9313dcdf8439132ef23a51cc6cdbc117a7383836
     md5         0049c68c643a550bd60f3791e818ef07

COVID-19 REPORT.doc

     sha256     277ca0574a1ff8cbebe3f30e59736775962135aaa5ff0f7decd2b6c247a4ae8a
     sha1        45264454889b66516d19d479be0f47526eea2403
     md5        84aefa0cc8a4c54c601b7635d3ad4d0d

COVID-19 LATEST.doc

     sha256      19ec071e413a88d0de44d0837486ecb6adfdbfeb85edd64db560af556effe7ee
     sha1         d2d5af40c2fbd01c2f8fe2c367a391eeb5abd4d5
     md5         2a248f2c9f8e415832a18d28e4f5fd5d

Dropped executable file

     sha256      C:\Users\admin\AppData\Roaming\qf72c.exe 69934cea9655968684880df302308198b7384f716d39040061b961ee86716e5f
     sha256      C:\Users\admin\AppData\Roaming\a84de.exe c54a276e61325e077f3ff7fcdbba9e046afb8514fa0a6d6a55506d0e17ac05d5

DNS requests

     domain     unlimitedimportandexport.com

Connections

     ip      74.208.236.42
     ip      79.134.225.114

HTTP/HTTPS requests

     url hxxp://unlimitedimportandexport.com/wp-content/plugins/all-in-one-wp-migration/lib/XgWoL.exe
     url hxxp://unlimitedimportandexport.com/wp-content/plugins/all-in-one-wp-migration/lib/cvxjR.exe