Новини:

PowerShell-команда в буфері обміну як “точка входу”

Злам веб-сайту: 7 ознак, що свідчать про це

Зі святом !!! День системного адміністратора.

Заходи з кібербезпеки: 10 помилок, яких припускаються користувачі

Вербування підлітків ворогом для скоєння диверсій

Нові хвилі масових розсилок листів з #Smokeloader

13.12.2018, зафіксована масова розсилка листів з шкідливим вкладенням, який не детектується популярними в України антивірусними засобами. Вкладення з розширенням.lzh (архів), який містить в собі 2 файли, один з яких є підробленим, або раніше викраденим документом формату xlsx (для прикриття), а інший – JS-скрипт, який при активації – завантажує шкідливе програмне забезпечення #Smokeloader в директорію %Temp% , яке використовується для завантаження інших шкідливих програмних забезпечень.

Звертаємо Вашу увагу, що текст повідомлення та назви файлів українською мовою, що незважаючи на поширення у всьому світі #Smokeloader, може свідчити про таргетованість атаки на Україну. Даний вірус являється завантажувачем і може бути використаний для завантаження будь-якого іншого шкідливого програмного забезпечення без Вашої згоди і відома.

Рекомендації:

Не відкривайте прикріплені файли в листах, яких Ви не очікували отримати.
Перевіряйте відправника повідомлення.
Блокуйте WSH або трафік cscript/wscript.
Фільтруйте нестандартні архіви та скриптові файли.
Блокуйте на Proxy нетипові User Agent.
Виконуйте основні правила кібергігієни .

Cхема:

email attach (lzh) > js > cmd.exe > powershell.exe > (new-object system.net.webclient).downloadfile > %Temp%ckZ89.ExE

Індикатори компрометації (IOC):

Шкідливі домени та ІР (C2):
http://chubanomania[.]icu/prima/spi.exe?rCuz (IP: 93.179.69.41)

Шкідливі файли:

Payload: spi.exe (зберігається під назвою ckZ89.ExE)

MD5 71e64237e53f95096710854badd1d348

SHA-1 1d7c1ff5b361d823feb56ca134e026932884440e

https://www.virustotal.com/#/file/71e64237e53f95096710854badd1d348

Прикріплений архів: До оплати від 11.12.18.lzh

MD5 3d6880d23b31ce467ede70ea2bd33fa5

SHA-1 2dd6e49ff82816e191e00d31ab228355d584bd14

https://www.virustotal.com/#/file/3d6880d23b31ce467ede70ea2bd33fa5

Прикріплений архів: Рахунки и новые списки.lzh

MD5 fa9beed6ac251f30e2e29c3786371381

SHA-1 584400018c017adbd03f154ba992a94bc9f0f436

https://www.virustotal.com/#/file/036d1c59ce5a8857e3707394c9929cd31eaf1f9c4bfef161f76de2c3ee12f37a/detection

JS-завантажувач: Рахунки за выполненные работы от 11.12.2018.js

MD5 dbadc05a3022d01b1c5c036cacb92d22

SHA-1 718e87638bbe563153504217b035ab3268b32af8

https://www.virustotal.com/#/file/7e11114a7b41b67f15ba59089f36627f9b260428dbdb218a56e8f6942e464af5/detection

JS-завантажувач: До оплати рах.ф. 74 – 2018р.js

md5 dbd464ecd6c8caa277482821d0798d92

SHA-1 ccc15e7c2e06d009085a900eb4318f290f6b541c

https://www.virustotal.com/#/file/4bf63f05a6d32ed3a6c15103ec69d073eeacdf14b3a77581b417c2e10b66ec9d/detection

0

Автор публікації

Офлайн 4 тижні

Ihor Romanets

0

Коментарі: 0Публікації: 203Реєстрація: 02-10-2017

Домашня сторінка