Шкідливе програмне забезпечення #MassLogger

Повідомляємо, що відбулося розсилання шкідливих електронних листів у вкладенні яких знаходиться .xlsx документ.

Зразок електронного повідомлення:

Детальний опис:

У випадку відкриття шкідливого .xlsx документа відбувається експлуатація вразливості CVE-2017-11882 Microsoft Office Memory Corruption Vulnerability для завантаження за посиланням http://rackbolt.in/0wligr5b.wlo.exe зразка шкідливого виконуваного файлу - MassLogger.

Шкідливий виконуваний файл зберігається як:
C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\0wligr5b. wlo[1].exe
та перезапускається як:
C:\Users\admin\AppData\Local\Temp\name.exe

Після перезапуску шкідливе програмне забезпечення виконує перевірку IP адреси за допомогою ресурсу http://api.ipify.org/, збирає дані про систему і користувача (з каталогу C:\Users\admin\AppData\...), формує інформаційне повідомлення та передає зібрану інформацію по зашифрованому SMTP з’єднанню на один із контрольованих серверів використовуючи 587 порт.

MassLogger – досить нове шкідливе програмне забезпечення яке відноситься до класу Trojan Stealer, призначене для збору та викрадення інформації про користувача і систему із широким спектром можливостей і механізмом дії, здатне пересилати зібрану інформацію різними способами ( надсилати шифровані електронні листи, запити до FTP серверів, заповнювати PHP форми).

Рівень загрози: СЕРЕДНІЙ

Поштовий лист –> *.xlsx –> EQNEDT32.exe –> URL –> *.exe –> #MassLogger

Механізм роботи:

Дерево процесів (загальне)

Індикатори кіберзагроз:

IP адреса з якої проводиться розсилання

   77.72.3.56

Main objects

Main object PO-01843-D20.xlsx
   SHA256 90b3177d8d812273c8fc4987a1b34a280203562d6ffad2371efcddb7134590ea
   SHA1 ffbde7cfaae98c7cc5d0ab62ac330c25e4818daf
   MD5 d58929479b4bd63a0cae40e1ad9327c4

Dropped executable file

C:\Users\admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\78RFYB7Z\0wligr5b.wlo[1].exe
     SHA256 e14c43eb8d39d692201c75c4620f7b7392f3395a399392963e5303bb38c320ed

DNS requests

     domain     rackbolt.in
     domain     mail.chemshire.org
     domain     api.ipify.org

Connections

     ip     208.115.234.234
     ip     208.91.198.102
     ip     54.204.19.83

HTTP/HTTPS requests

     url     http://rackbolt.in/0wligr5b.wlo.exe