Nowa fala „faktur”

W ostatnich dniach nasze systemy obserwują wzmożoną aktywność w sieci Orange Polska trojana Ursnif. To tzw. banker – złośliwe oprogramowanie wyspecjalizowane w kradzieży danych autoryzacyjnych do banków. Dodatkowo, do analityków na całym świecie trafiały już nowe, rozbudowane wersje Ursnifa, wykradające również dane dotyczące kont mailowych z programów pocztowych, loginy i hasła zapamiętywane w przeglądarkach, a nawet te, służące do dostępu do cyfrowych portfeli.

Nowym/starym wektorem ataku są maile, udające faktury. To niby nic nowego, jednak tym razem przestępcy umieszczają złośliwe dokumenty na chmurowym dysku Google Drive. Sprytne po dwakroć: po pierwsze, dostawcy internetu nie mogą zablokować całej domeny, pod drugie zaś (albo po jeszcze bardziej pierwsze) – większa szansa, że ofiara zaufa czemuś, co kojarzy się jej z Google. Co więcej, zip z „fakturą” jest jeszcze relatywnie bezpieczny – dopiero po rozpakowaniu skrypt vbs pobiera skrypt powershell, który w następnym kroku, już na komputerze ofiary, wykonuje.

Najwięcej próbek, które do nas trafiły, udawało faktury z sieci Play, o czym ostrzegaliśmy na Twitterze.

Hej, @Play_Polska – źli ludzie podszywają się pod Wasze faktury! Sposób podobny jak w https://t.co/muCsgBRt2k, więc pewnie „w promocji” dodają #Ursnif. pic.twitter.com/41NhLGGzV0

— CERT Orange Polska (@CERT_OPL) December 13, 2019

Absolutnie nie należy tego jednak traktować jako normy – trafiło też do nas kilka maili, podszywających się pod faktury istniejących małych i średnich firm.

Indicators of Compromise

Na koniec oczywiście czas na IoC.

Faktyczna lokalizacja dokumentu ZIP hxxps://whenbuyyousale.co

Pobranie skryptu powershell hxxps://joplionnsld.xyz; hxxps://findfiooos.xyz

Odwołanie z powershella hxxps://seioodsoi.club/chkesosod/downs/VhQWr