» » » Спам-кампания “Love you” перенацелена на Японию

 

Спам-кампания “Love you” перенацелена на Японию

Автор: admin от 5-02-2019, 22:20, посмотрело: 37

Изучая свежую волну спама в России, мы обратили внимание на другую атаку. С середины января 2019 года известная кампания “Love you” доработана и перенацелена на Японию, где используется для распространения шифратора GandCrab 5.1.



Спам-кампания “Love you” перенацелена на Японию

По данным телеметрии, последняя версия “Love you” запущена 28 января 2019 года, ее активность примерно вдвое превысила первоначальную (см. график ниже). Как и в середине января, с помощью спама распространяется набор вредоносных полезных нагрузок с некоторыми обновлениями. Так, мы видели попытки загрузки криптомайнера, ПО для изменения системных настроек, вредоносного загрузчика, червя Phorpiex, а также шифратора GandCrab версии 5.1.



Спам-кампания “Love you” перенацелена на Японию


Рисунок 1. Детектирование вредоносных вложений javascript, распространяемых в кампании “Love you” и ее последней волне



По состоянию на 29 января 2019 года подавляющее большинство обнаружений приходится на Японию (95%), каждый час детектируются десятки тысяч вредоносных писем. В тот же день JS/Danger.ScriptAttachment (по классификации ESET — вредоносный javascript, распространяемый через вложения электронной почты) был четвертой по числу обнаружений угрозой в мире и угрозой №1 в Японии (см. ниже).



Спам-кампания “Love you” перенацелена на Японию


Рисунок 2. JS/Danger.ScriptAttachment был угрозой №1 в Японии по состоянию на 29 января



Сценарий атаки



В последней кампании атакующие изменили тексты рассылок, перейдя от «Love You» в теме письма к заголовкам, связанным с Японией. Прежним осталось множество смайлов в теме и теле письма.



Темы писем, которые мы видели в ходе анализа:



— Yui Aragaki ;)

— Kyary Pamyu Pamyu ;)

— Kyoko Fukada ;)

— Yuriko Yoshitaka ;)

— Sheena Ringo ;)

— Misia ;)

(японские звезды шоу-бизнеса)



Изученные вредоносные вложения представляют собой ZIP-архивы, замаскированные под изображения с именами формата PIC0-[9-digit-number]2019-jpg.zip. На рисунке ниже представлены примеры таких писем.



Спам-кампания “Love you” перенацелена на Японию
Рисунок 3. Примеры спам-писем из «японской» кампании



ZIP-архив содержит javascript-файл с именем в том же формате, но заканчивающимся только на .js. После извлечения и запуска javascript загружает полезную нагрузку первого этапа с C&C-сервера атакующих – ЕХЕ-файл, детектируемый продуктами ESET как Win32/TrojanDownloader.Agent.EJN. URL-адреса, на которых размещена эта полезная нагрузка, имеют путь, заканчивающийся на bl*wj*b.exe (имя файла изменено) и krabler.exe; эта полезная нагрузка загружается в C:Users[username]AppDataLocalTemp[random].exe.



Полезная нагрузка первого этапа скачивает одну из следующих финальных полезных нагрузок с того же C&C-сервера:



— шифратор GandCrab версии 5.1

— криптомайнер

— червь Phorpiex

— загрузчик, работающий в соответствии с языковыми настройками (скачивает полезную нагрузку только в том случае, если языковые настройки зараженного компьютера соответствуют Китаю, Вьетнаму, Южной Корее, Японии, Турции, Германии, Австралии или Великобритании)

— ПО для изменения системных настроек



GandCrab 5.1 шифрует файлы, добавляя случайное расширение из пяти символов к их именам. Требования выкупа, содержащие это расширение в именах файлов и их содержимом, создаются в каждой папке, затронутой шифратором.



Спам-кампания “Love you” перенацелена на Японию
Рисунок 4. Требование выкупа GandCrab v5.1



Полезная нагрузка данной кампании скачивается с IP-адреса 92.63.197[.]153, геолокация которого соответствует Украине. Адрес использовался в кампании “Love you” с середины января.



Индикаторы компрометации



Примеры хешей вредоносных вложений ZIP

8551C5F6BCA1B34D8BE6F1D392A41E91EEA9158B

BAAA91F700587BEA6FC469FD68BD8DE08A65D5C7

9CE6131C0313F6DD7E3A56D30C74D9E8E426D831

83A0D471C6425DE421145424E60F9B90B201A3DF

57F94E450E2A504837F70D7B6E8E58CDDFA2B026




Детектирование ESET: JS/Danger.ScriptAttachment



Примеры хешей загрузчиков javascript

cfe6331bdbd150a8cf9808f0b10e0fad4de5cda2

c50f080689d9fb2ff6e731f72e18b8fe605f35e8

750474ff726bdbd34ffc223f430b021e6a356dd7

1445ea29bd624527517bfd34a7b7c0f1cf1787f6

791a9770daaf8454782d01a9308f0709576f75f9




Детектирование ESET: JS/TrojanDownloader.Agent.SYW или JS/TrojanDownloader.Nemucod.EDK



Примеры хешей полезной нагрузки первого этапа

47C1F1B9DC715D6054772B028AD5C8DF00A73FFC



Детектирование ESET: Win32/TrojanDownloader.Agent.EJN



Примеры хешей финальной полезной нагрузки

Шифратор GandCrab 885159F6F04133157871E1D9AA7D764BFF0F04A3 Win32/Filecoder.GandCrab.E

Криптомайнер 14E8A0B57410B31A8A4195D34BED49829EBD47E9 Win32/CoinMiner.BEX

Червь Phorpiex D6DC8ED8B551C040869CD830B237320FD2E3434A Win32/Phorpiex.J

Загрузчик AEC1D93E25B077896FF4A3001E7B3DA61DA21D7D Win32/TrojanDownloader.Agent.EEQ

ПО для изменения системных настроек 979CCEC1DF757DCF30576E56287FCAD606C7FD2C Win32/Agent.VQU



C&C-сервер, используемый в кампании

92.63.197[.]153


Источник: Хабр / Интересные публикации

Категория: iOS

Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь.
Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

Добавление комментария

Имя:*
E-Mail:
Комментарий:
Полужирный Наклонный текст Подчеркнутый текст Зачеркнутый текст | Выравнивание по левому краю По центру Выравнивание по правому краю | Вставка смайликов Выбор цвета | Скрытый текст Вставка цитаты Преобразовать выбранный текст из транслитерации в кириллицу Вставка спойлера
Введите два слова, показанных на изображении: *