Атака Фишинговой электронной почты на гостиничный бизнес в Северной Америке

13 Авг. 2019 г.kate
Подробнее о 360 Total Security

Недавно 360 Total Security обнаружил серию атак по фишинговой электронной почте, предположительно нацеленных на гостиничную индустрию в Северной Америке. Злоумышленник отправляет вложение с вредоносным кодом финансовому персоналу целевой компании через фишинговую электронную почту и указывает в электронном письме, у компании есть задолженность по оплате, чтобы финансовый персонал открыли вредоносные файлы во вложении.

Когда финансовый персонал открывает файл во вложении, вредоносный код будет активирован, а затем будет загружено и выполнено дистанционное управление NetWiredRC. Мощное удаленное управление NetWiredRC может обеспечить чтение и запись в реестр, чтение и запись файлов, захват экрана, кейлоггер, аналоговый щелчок клавиатуры / мыши, украсть учетные данные для входа и другие функции.

Технические детали

Злоумышленник солгал, что  у целевой компании задолженность по частей услуг, напомнив жертве проверить счет во вложении и обманом заставив жертву открыть вложение:

Вложение в фишинговом письме представляет собой zip-файл, а извлеченные ярлыки содержат вредоносный код:

Значок ярлыка также маскируется под счет:

Сценарий powershell встроен в целевой параметр ярлыка. Данная функция  загрузит и выполнит http [:] // bit.do/e2VHR:

Ссылка для скачивания здесь является короткой ссылкой, чтобы скрыть ее реальный адрес загрузки http [:] // 13.67.107.73:80/amtq/out-441441271.ps1:

Out-441441271.ps1 является троян-релизер, который запускает .NET Trojan psd.exe  после выполнения:

Psd.exe является многослойным и запутанным:

После удаления запутанного кода видно, что основной код расшифрует суб-PE (QMLBeOtNWa.exe) и выполнит его:

QMLBeOtNWa.exe выпустит ярлык в каталоге автозагрузки для выполнения самозапуска вируса:

Затем данный файл перейдет к подпроцессу удаленного управления, чтобы его запустить, если он не существует, то расшифровать выполнение удаленного управления NetWiredRC:

Логика загрузки пульта дистанционного управления выглядит следующим образом:

NetWiredRC — мощный троян для удаленного управления, который может выполнять следующие вирусные функции:

Троянец дешифрует сетевой адрес пульта дистанционного управления:

Он получает информацию о диске:

И получает скриншот:

Записывает информацию о кнопках:

Троянец имитирует щелчок мышью:

Троянец получает информацию о сеансе входа в систему LSA:

Троянец похищает учетные данные, хранящиеся в IE, Comode Dragon, Яндексе, Mozilla Firefox, Google Chrome, Chromium, Opera, браузерах OutLook, ThundBird, SeaMonkey и других почтовых клиентах. Возьмем Chrome в качестве примера, кодовая логика выглядит следующим образом:

Совет по безопасности

(1) Не открывайте электронные письма неизвестного происхождения. Вы должны отправить эти электронные письма в отдел безопасности для расследования.

(2)   не нажимайте кнопку «Включить макрос» в неизвестных файлах, чтобы предотвратить вторжение макровируса.

(3) Своевременное обновление системных исправлений полезно для устранения уязвимостей системы.

(4) 360 Total Security могут своевременно обнаруживать и перехватывать такие атаки, и мы рекомендуем пользователям перейти на http://www.360totalsecurity.com/ для установки.

IoC*:

11112c869e49cfcdc722ea9babded18a

kmzexport.duckdns.org:3360

 

Подробнее о 360 Total Security