Правила роботи з email #2

Короткий допис по гарячих слідах чергової атаки.

Детальний звіт буде згодом!

Якщо коротко, то ситуація виглядає наступним чином:

  1. Жертва отримує електронного листа з фейкової адреси
  2. Жертва відкриває приєднання (у цьому випадку це був .XLS, але це не суттєво)
  3. Жертву просять увімкнути макроси (!)
  4. Після активації макросів з оболонки XLS в %temp% розпаковується .EXE
  5. .exe здійснює з’єднання з C&C та виконує перевірку системи (OS, hostname…)
  6. Далі з C&C здійснюється завантаження необхідних модулів

Проміжні висновки:

  • перевіряйте заголовки листів
  • не запускайте одразу приєднання
  • не дозволяйте макроси без попередньої перевірки на окремій ВМ або VirusTotal
  • якщо працювати з файлами від невідомих потрібно – блокуйте запуск скриптів та запускних файлів з каталогів %temp% та AppData

Мої рекомендації із старого допису досі залишаються актуальними.

Процес інфікування тестової системи:

winxp1 winxp2 winxp3 winxp7 winxp8

XLS`ий файл – приманка для користувача, його задача – змусити людину активувати макрос.

Макрос видобуває тіло test_vb.exe, який виконує збір інформації про машину та відправляє на C&C.

Зауважу – тут не йдеться про якийсь свіжий, небезпечний exploit.

Це просто приклад фішингу із базовими елементами соц. інженерії.

PS

Спеціалісти CERT-UA відреагували швидко. C&C блоковано.

Слідкуйте за оновленнями. І пам’ятайте про правила здорового глузду при роботі із поштою.

VR

Tags: , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: