IT

Tentativă atac de tip phishing și distribuire aplicație malware de tip infostealer

Curierul Național
Autor Curierul Național

Sursa: dnsc.ro

În ultima perioadă, la nivelul Directoratului Național de Securitate Cibernetică (DNSC) a fost identificat un nou val de atacuri la nivelul spațiului cibernetic național.

DESCRIERE

Atacatorii transmit un e-mail cu subiect „AVERTISMENT ÎNCĂLCARE A DREPTURILOR DE PROPRIETATE INTELECTUALĂ”, pretinzând că expeditorul este o firmă de avocatură. În corpul mesajului se găsește un link scurt, hXXps://tr[.]ee/ABudhB, care operează mai multe redirecționări:

hxxps://tr[.]ee/ABudhB

 ↳ hxxps://goo[.]su/u6zIvs

  ↳ hxxps://senfedg[.]com?u=hxxps://goo[.]su/P7wvI9s

   ↳ hxxps://www.mediafire[.]com/file/cr1i3xf6f17576n/Verdikto+katar+o+rodipe.zip/file

Ultima adresă web facilitează descărcarea unei arhive de tip ZIP, „Verdikto katar o rodipe.zip”, care conține următoarele fișiere:

  • „Komentarura katar o rodipe.exe” – PE32 executable (GUI)
  • „vcruntime140.dll” – PE32 executable (DLL)
  • „version.dll” – PE32 executable (DLL)
  • „Document.pdf” – PEM certificate
  • „Images.png” – PE32+ executable (GUI) x86-64

La rulare, aplicația de tip malware activează un proces cmd.exe care injectează un cod elaborat în limbajul Python, la nivelul svchost.exe. Acesta încarcă un modul purehvnc prin RegAsm.exe, pentru ca sistemul infectat să poată fi controlat de la distanță.

Procesul RegAsm.exe aplică conexiuni în memorie, la nivelul interfeței Antimalware Scan Interface (AMSI), dezactivând astfel detecția dinamică a codului periculos.

  • Configurare și comunicații cu Telegram: Componenta “ims-api” din exe încarcă un token de bot Telegram şi stabileşte comunicarea C2 prin apeluri la API-ul getMegetUpdates şi deleteWebhook.
  • Furt de credențiale din browsere: Aplicația de tip malware detectează și atașează un debugger la procesele browserelor (chrome.exe, msedge.exe), permițând extragerea datelor de tip cookies și a altor date de autentificare stocate.
  • Descărcare de module şi librării dinamice: Prin procesul „Images.png” (generat ca payload intermediar), sunt scrise pe disc module Python şi biblioteci runtime C necesare pentru execuţia codului principal.
  • Captură de ecran: Se creează fișierul Images.png care conține capturi ale desktop-ului victimei, realizate fie de exe, fie de API-uri interne, apoi prelucrate pentru exfiltrare.
  • Decodare Base64 a payload-ului secundar: În cmd.exe, utilitarul CertUtil este folosit pentru a decodifica un pachet de date binare codificate Base64, obținând un executabil suplimentar sau script Python ascuns.
  • Întrerupere a browserelor: Execută EXE pentru a opri browserele țintă și a elibera datele de autentificare.
  • Trimite cookie-uri, capturi de ecran și fișiere de configurare către bot-ul Telegram.
  • Acces remote purehvnc: Modulul purehvnc încărcat în exe ascultă pe porturile 56001-56003, oferind atacatorilor acces și control complet asupra sistemului.
  • Enumerare extensii crypto-portofele: Prin exe, aplicația malware caută ID-uri ale extensiilor de portofele criptografice instalate în browser, pregătind exfiltrarea cheilor private.
  • Recon conexiuni externe: Înainte de exfiltrare, exe verifică adresa IP externă a victimei și stabilește sesiuni de rețea către serverele de C2.
INDICATORI DE COMPROMITERE (IoC)
IndicatorTipDescriere
hxxps://www.mediafire[.]com/file/cr1i3xf6f17576n/Verdikto+katar+o+rodipe.zip/fileURLDescarcă arhiva ZIP
59c8d8e70b04b4f6e642d03eb0007edc7934e0d725f9126fe20650fb3fc68137SHA256SHA256 hash al arhivei „Verdikto katar o rodipe.zip”
08c7fb6067acc8ac207d28ab616c9ea5bc0d394956455d6a3eecb73f8010f7a2SHA256SHA256 hash al fișierului „Komentarura katar o rodipe.exe”
a088131e8eb4e2178789af49b646ab463cf9a1f48da51698448206df21db5c95SHA256SHA256 hash al fișierului „vcruntime140.dll”
dd9826b41104baba8b0426e070644129b6ded1eee2e1bbacad5a63349801b95dSHA256SHA256 hash al fișierului „version.dll”
442cee3a2f53d894ad7b4484636979653c14970aebedde1e6f5bee2943105cc0SHA256SHA256 hash al fișierului „Document.pdf”
b2ddf9bb7b062f2734c6d120fd385862f79aa0fefcd42a11b00778e7240ad07dSHA256SHA256 hash al fișierului „Images.png”
107.178.110.167:56001–56003IP și portC2 server IP
195.201.57.90:443IP și portipwho.is
7414494371:AAHsrQDkPrEVyz9z0RoiRS5fJKI-ihKJpzQToken APITelegram-Tokens (C2 over API)


IMPACT

- Publicitate -
  • Aplicația de tip malware intervine la nivelul proceselor din browser și extrage cookie-uri, token-uri de sesiune și acreditări salvate, permițând acces neautorizat la nivelul conturilor online ale utilizatorului. Aceste date pot fi apoi valorificate pentru a prelua controlul asupra serviciilor de tip e-commerce, email, la nivelul platformelor financiare sau conturilor rețelelor de socializare, fără a necesita o autentificare suplimentară.
  • La intervale prestabilite sau la declanșarea anumitor acțiuni, sunt realizate capturi ale ecranului și sunt colectate fișiere, incluzând documente juridice, prezentări și baze de date. Aceste materiale sunt apoi trimise către atacatori prin canalul Telegram, oferindu-le vizibilitate completă asupra activităților și datelor confidențiale ale victimei.
  • Componenta purehvnc instalează un server VNC ascuns pe porturi non-standard (56001–56003), permițând atacatorilor să se conecteze la desktop-ul victimei de oriunde. Această accesibilitate continuă facilitează mișcări ulterioare laterale în rețea, escaladări de privilegii și instalarea de noi payload-uri fără a fi detectați rapid.
  • Malware-ul modifică în memorie funcția AmsiScanBuffer din dll, forțând-o să returneze un rezultat benign și împiedicând astfel scanarea codului rău intenționat de către AV/EDR. În plus, folosirea CertUtil pentru a decodifica pachetul de date binare Base64, ascunde temporar payload-ul real de sistemele de monitorizare tradiționale.
  • În cazul în care victimă utilizează extensii de portofele criptografice, malware-ul identifică și exfiltrează cheile private, oferind atacatorilor acces la fondurile digitale ale utilizatorului. Totodată, prin accesul obținut, atacatorii pot descărca și executa componente de tip ransomware, criptând datele critice și solicitând recompensă pentru deblocare.

RECOMANDĂRI

  • Evitarea deschiderii atașamentelor suspecte precum fișiere .exe .bat .zip, .rar, .js etc. din e-mailuri necunoscute.
  • Utilizarea filtrelor de securitate pentru e-mailuri și blocarea extensiilor periculoase.
  • Actualizarea sistemelor de operare și aplicațiilor.
  • Segmentarea rețelei pentru a limita răspândirea atacurilor.
  • Monitorizarea traficului rețelei și activarea alertelor în cazul activităților suspecte.
  • Efectuarea unor pregătiri specifice la nivelul angajaților pentru identificarea mesajelor e-mail de tip phishing.
  • Realizarea periodică a unor copii de siguranță a datelor (backup-uri) și stocarea acestora într-un mediu diferit, în scop de protecție împotriva atacurilor de tip ransomware.
  • Implementarea, după caz, a unor soluții avansate de securitate, precum cele de tip Sandbox și cele pentru prevenirea pierderii datelor, de tip DLP (Data Loss Prevention).

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.

Distribuie articolul
Articolul anterior Electrica anunță un profit net contabil de aproape 200 mil. lei la trei luni, în creștere
Articolul următor Peste 7 milioane de conturi de streaming au fost compromise în 2024
Niciun comentariu

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *

-Publicitate-

Ultimele articole

Câteva ore la Florenţa
Cultură și Educație
 „Spiderman”, noul kit de phishing care vizează clienții băncilor europene
IT
Google lansează un patch de urgență pentru o vulnerabilitate zero-day din Chrome exploatată activ
IT

Citește și