Jarosław Kowalczyk nie wysyła Formbooka
Przestępcy wracają do niewykorzystywanego od dawna wektora ataku. Do skrzynek służbowych w polskich firmach trafiają dzisiaj (i być może będą jeszcze przez kilka dni) takie maile:
Imię i nazwisko, pod które podszywają się sprawcy, zostawiliśmy jako istotną informację, jednak dane pozwalające zidentyfikować prawdziwą, istniejącą firmę – usunęliśmy.
W załączniku znajdziemy plik o rozszerzeniu iso, który po rozpakowaniu okaże się być plikiem wykonywalnym Ord8593.exe (md5: afcdd673effcf464d06c021e5ce0d247). Po kliknięciu weń nie zobaczymy rzecz jasna żadnej faktury, lecz zainfekujemy swój komputer stealerem Formbook. W południe 26 sierpnia opisywaną próbkę wykrywało 27 z 68 silników antywirusowych.
Próbka posiada w sobie dość charakterystyczne metody by uniknąć wykrycia podczas jej analizy, wdrażając się w takie procesy systemu Windows, jak:
- ipconfig.exe
- mstsc.exe
- msdt.exe
- svchost.exe
- msiexec.exe
- help.exe
- chkdsk.exe
- taskhost.exe
- rundll32.exe
- cmd.exe
Testowana próbka próbuje się połączyć z jednym z szeregu serwerów Command&Control (część nie jest na obecną chwilę dostępna):
- hxxp://www.hashburn.net
- hxxp://www.emoblow.com
- hxxp://www.cattedralidismeraldo.com
- hxxp://www.xn--oy2bp4tkrcpa.com
- hxxp://www.rightlokation.com
- hxxp://www.emprendedorasdehogar.com
- hxxp://www.daylamiagency.com
- hxxp://www.screensaver.network
- hxxp://www.finegoodses.store
- hxxp://www.bulukx.com
- hxxp://www.finegoodses.store
- hxxp://www.teacheex.com
- hxxp://www.redevelopment37subhashnagar.com
- hxxp://www.fastpass.info