Недавно 360 Total Security обнаружил серию атак по фишинговой электронной почте, предположительно нацеленных на гостиничную индустрию в Северной Америке. Злоумышленник отправляет вложение с вредоносным кодом финансовому персоналу целевой компании через фишинговую электронную почту и указывает в электронном письме, у компании есть задолженность по оплате, чтобы финансовый персонал открыли вредоносные файлы во вложении.
Когда финансовый персонал открывает файл во вложении, вредоносный код будет активирован, а затем будет загружено и выполнено дистанционное управление NetWiredRC. Мощное удаленное управление NetWiredRC может обеспечить чтение и запись в реестр, чтение и запись файлов, захват экрана, кейлоггер, аналоговый щелчок клавиатуры / мыши, украсть учетные данные для входа и другие функции.
Технические детали
Злоумышленник солгал, что у целевой компании задолженность по частей услуг, напомнив жертве проверить счет во вложении и обманом заставив жертву открыть вложение:
Вложение в фишинговом письме представляет собой zip-файл, а извлеченные ярлыки содержат вредоносный код:
Значок ярлыка также маскируется под счет:
Сценарий powershell встроен в целевой параметр ярлыка. Данная функция загрузит и выполнит http [:] // bit.do/e2VHR:
Ссылка для скачивания здесь является короткой ссылкой, чтобы скрыть ее реальный адрес загрузки http [:] // 13.67.107.73:80/amtq/out-441441271.ps1:
Out-441441271.ps1 является троян-релизер, который запускает .NET Trojan psd.exe после выполнения:
Psd.exe является многослойным и запутанным:
После удаления запутанного кода видно, что основной код расшифрует суб-PE (QMLBeOtNWa.exe) и выполнит его:
QMLBeOtNWa.exe выпустит ярлык в каталоге автозагрузки для выполнения самозапуска вируса:
Затем данный файл перейдет к подпроцессу удаленного управления, чтобы его запустить, если он не существует, то расшифровать выполнение удаленного управления NetWiredRC:
Логика загрузки пульта дистанционного управления выглядит следующим образом:
NetWiredRC — мощный троян для удаленного управления, который может выполнять следующие вирусные функции:
Троянец дешифрует сетевой адрес пульта дистанционного управления:
Он получает информацию о диске:
И получает скриншот:
Записывает информацию о кнопках:
Троянец имитирует щелчок мышью:
Троянец получает информацию о сеансе входа в систему LSA:
Троянец похищает учетные данные, хранящиеся в IE, Comode Dragon, Яндексе, Mozilla Firefox, Google Chrome, Chromium, Opera, браузерах OutLook, ThundBird, SeaMonkey и других почтовых клиентах. Возьмем Chrome в качестве примера, кодовая логика выглядит следующим образом:
Совет по безопасности
(1) Не открывайте электронные письма неизвестного происхождения. Вы должны отправить эти электронные письма в отдел безопасности для расследования.
(2) не нажимайте кнопку «Включить макрос» в неизвестных файлах, чтобы предотвратить вторжение макровируса.
(3) Своевременное обновление системных исправлений полезно для устранения уязвимостей системы.
(4) 360 Total Security могут своевременно обнаруживать и перехватывать такие атаки, и мы рекомендуем пользователям перейти на http://www.360totalsecurity.com/ для установки.
IoC*:
11112c869e49cfcdc722ea9babded18a
kmzexport.duckdns.org:3360