Tentativă atac de tip phishing și distribuire aplicație malware de tip infostealer

Sursa: dnsc.ro

În ultima perioadă, la nivelul Directoratului Național de Securitate Cibernetică (DNSC) a fost identificat un nou val de atacuri la nivelul spațiului cibernetic național.

DESCRIERE

Atacatorii transmit un e-mail cu subiect „AVERTISMENT ÎNCĂLCARE A DREPTURILOR DE PROPRIETATE INTELECTUALĂ”, pretinzând că expeditorul este o firmă de avocatură. În corpul mesajului se găsește un link scurt, hXXps://tr[.]ee/ABudhB, care operează mai multe redirecționări:

hxxps://tr[.]ee/ABudhB

 ↳ hxxps://goo[.]su/u6zIvs

  ↳ hxxps://senfedg[.]com?u=hxxps://goo[.]su/P7wvI9s

   ↳ hxxps://www.mediafire[.]com/file/cr1i3xf6f17576n/Verdikto+katar+o+rodipe.zip/file

Ultima adresă web facilitează descărcarea unei arhive de tip ZIP, „Verdikto katar o rodipe.zip”, care conține următoarele fișiere:

• „Komentarura katar o rodipe.exe” – PE32 executable (GUI)
• „vcruntime140.dll” – PE32 executable (DLL)
• „version.dll” – PE32 executable (DLL)
• „Document.pdf” – PEM certificate
• „Images.png” – PE32+ executable (GUI) x86-64

La rulare, aplicația de tip malware activează un proces cmd.exe care injectează un cod elaborat în limbajul Python, la nivelul svchost.exe. Acesta încarcă un modul purehvnc prin RegAsm.exe, pentru ca sistemul infectat să poată fi controlat de la distanță.

Procesul RegAsm.exe aplică conexiuni în memorie, la nivelul interfeței Antimalware Scan Interface (AMSI), dezactivând astfel detecția dinamică a codului periculos.

• Configurare și comunicații cu Telegram: Componenta “ims-api” din exe încarcă un token de bot Telegram şi stabileşte comunicarea C2 prin apeluri la API-ul getMe, getUpdates şi deleteWebhook.
• Furt de credențiale din browsere: Aplicația de tip malware detectează și atașează un debugger la procesele browserelor (chrome.exe, msedge.exe), permițând extragerea datelor de tip cookies și a altor date de autentificare stocate.
• Descărcare de module şi librării dinamice: Prin procesul „Images.png” (generat ca payload intermediar), sunt scrise pe disc module Python şi biblioteci runtime C necesare pentru execuţia codului principal.
• Captură de ecran: Se creează fișierul Images.png care conține capturi ale desktop-ului victimei, realizate fie de exe, fie de API-uri interne, apoi prelucrate pentru exfiltrare.
• Decodare Base64 a payload-ului secundar: În cmd.exe, utilitarul CertUtil este folosit pentru a decodifica un pachet de date binare codificate Base64, obținând un executabil suplimentar sau script Python ascuns.
• Întrerupere a browserelor: Execută EXE pentru a opri browserele țintă și a elibera datele de autentificare.
• Trimite cookie-uri, capturi de ecran și fișiere de configurare către bot-ul Telegram.
• Acces remote purehvnc: Modulul purehvnc încărcat în exe ascultă pe porturile 56001-56003, oferind atacatorilor acces și control complet asupra sistemului.
• Enumerare extensii crypto-portofele: Prin exe, aplicația malware caută ID-uri ale extensiilor de portofele criptografice instalate în browser, pregătind exfiltrarea cheilor private.
• Recon conexiuni externe: Înainte de exfiltrare, exe verifică adresa IP externă a victimei și stabilește sesiuni de rețea către serverele de C2.

IMPACT

• Aplicația de tip malware intervine la nivelul proceselor din browser și extrage cookie-uri, token-uri de sesiune și acreditări salvate, permițând acces neautorizat la nivelul conturilor online ale utilizatorului. Aceste date pot fi apoi valorificate pentru a prelua controlul asupra serviciilor de tip e-commerce, email, la nivelul platformelor financiare sau conturilor rețelelor de socializare, fără a necesita o autentificare suplimentară.
• La intervale prestabilite sau la declanșarea anumitor acțiuni, sunt realizate capturi ale ecranului și sunt colectate fișiere, incluzând documente juridice, prezentări și baze de date. Aceste materiale sunt apoi trimise către atacatori prin canalul Telegram, oferindu-le vizibilitate completă asupra activităților și datelor confidențiale ale victimei.
• Componenta purehvnc instalează un server VNC ascuns pe porturi non-standard (56001–56003), permițând atacatorilor să se conecteze la desktop-ul victimei de oriunde. Această accesibilitate continuă facilitează mișcări ulterioare laterale în rețea, escaladări de privilegii și instalarea de noi payload-uri fără a fi detectați rapid.
• Malware-ul modifică în memorie funcția AmsiScanBuffer din dll, forțând-o să returneze un rezultat benign și împiedicând astfel scanarea codului rău intenționat de către AV/EDR. În plus, folosirea CertUtil pentru a decodifica pachetul de date binare Base64, ascunde temporar payload-ul real de sistemele de monitorizare tradiționale.
• În cazul în care victimă utilizează extensii de portofele criptografice, malware-ul identifică și exfiltrează cheile private, oferind atacatorilor acces la fondurile digitale ale utilizatorului. Totodată, prin accesul obținut, atacatorii pot descărca și executa componente de tip ransomware, criptând datele critice și solicitând recompensă pentru deblocare.

RECOMANDĂRI

• Evitarea deschiderii atașamentelor suspecte precum fișiere .exe .bat .zip, .rar, .js etc. din e-mailuri necunoscute.
• Utilizarea filtrelor de securitate pentru e-mailuri și blocarea extensiilor periculoase.
• Actualizarea sistemelor de operare și aplicațiilor.
• Segmentarea rețelei pentru a limita răspândirea atacurilor.
• Monitorizarea traficului rețelei și activarea alertelor în cazul activităților suspecte.
• Efectuarea unor pregătiri specifice la nivelul angajaților pentru identificarea mesajelor e-mail de tip phishing.
• Realizarea periodică a unor copii de siguranță a datelor (backup-uri) și stocarea acestora într-un mediu diferit, în scop de protecție împotriva atacurilor de tip ransomware.
• Implementarea, după caz, a unor soluții avansate de securitate, precum cele de tip Sandbox și cele pentru prevenirea pierderii datelor, de tip DLP (Data Loss Prevention).

Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.