hamburger

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
@CERT_OPL

Remcos powraca (analiza techniczna)

Remcos RAT to jedno z najpopularniejszych zagrożeń ostatnich lat w polskiej sieci. Co ciekawe, również dość łatwe do rozpoznania, bowiem wektor ataku jest identyczny – podszycie się pod faktyczną korespondencję z istniejącą firmą.

Dlatego też wymarzonymi ofiarami przestępców, przeprowadzających kampanie trojana Remcos są firmy. Najlepiej małe lub średnie, bowiem w większych coraz częściej dopracowane są (a przynajmniej w to chcielibyśmy wierzyć) procedury postępowania z dokumentami przesyłanymi mailem.

„Ale to nasz klient!”

Sztuczka w przypadku Remcosa polega na tym, że napastnicy włączają się w faktyczny ciąg wymiany maili. Jakim cudem? Ano takim, że wcześniej włamują się do innej firmy, współpracującej z docelową ofiarą.

Remcos RAT - fałszywy mail

W takiej sytuacji naprawdę łatwo z rozpędu kliknąć w załącznik (w naszym przypadku usunął go antywirus jednak do CERT Orange Polska dotarł nienaruszony). I ciężko będzie nawet taką sytuację uznać na niefrasobliwą, tym bardziej, że polszczyzna jest bez zastrzeżeń. Stawiamy na to, że napastnik po włamaniu do sieci firmy o nazwie rozpoczynającej się na „Ke” przyjrzał się również formie wypowiedzi mailowych Pana Wiesława.

Co się dzieje, gdy klikniemy?

W załączniku maila znajduje się dokument: Zapytanie ofertowe.doc

MD5: 4408ca3bb0fdd89af42c33dadd1b68bc
SHA-1: f77fde97c797c3e004640a0cc2dfa4c9f4e271eb
SHA-256: a68e6f0e2de1437f0661905eee391367468d844a4ba9bdcf88a6c3636dfbe249
Vhash: 83c850cc2e830c319fe0222a02f8e1e2b

Plik wykorzystuje podatność CVE-2017-11882 na Edytor Równań (Microsoft Office Equation Editor), pobierając i uruchomiając złośliwy kod z adresu

hxxp://fresh1.ironoreprod[.]top/_errorpages/chungzx.exe

Pobrany payload z plikiem wykonywalnym zawierał Remcos RAT – komercyjne złośliwe oprogramowanie, sprzedawane w modelu Malware-as-a-Service, dedykowane do kradzieży haseł i danych dostępowych, podsłuchiwania aktywności użytkownika, czy przejęcia zdalnej kontroli nad zainfekowanym urządzeniem. Przykładem może być funkcja

take_screenshot_title: Username;password;proforma;invoice;notepad

która powoduje wykonanie zrzutu ekranu w momencie zidentyfikowania zaprogramowanych słów kluczowych.

Remcos RAT

Version: 1.7 Pro
Botnet: Independence
C2: ascoitaliasasummer.duckdns.org:3030
Plik: chungzx.exe
MD5: 1471855e22fc3165fffc6e371bc01feb
SHA-1: acd40870c767d6a4590b0ba5abe8cffad7651de5
SHA-256: 015de283d33b7b246204fad78eaede87ab7939aaa34f035d59569aec3606747d
Vhash: 29503665151320823842402d


Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Zobacz także