Росію вразила нова хвиля спаму-вимогателя

Серед збільшеної кількості шкідливих вкладень електронної пошти JavaScript, що спостерігались у січні 2019 року, дослідники ESET помітили велику хвилю спаму, що поширює вимогав, орієнтованого на російських користувачів.

У січні 2019 року спостерігається різкий підйом у виявленні шкідливих вкладень електронної пошти JavaScript, вектор атаки, який здебільшого залишається неактивним протягом 2018 року. Серед «новорічного видання» шкідливих спам-кампаній, що покладаються на цей вектор, ми виявили нову хвилю російсько- мовний спам, який розповсюджує програми-вимагателі, відомі як Shade або Troldesh, і виявлені ESET як Win32/Filecoder.

Кампанія, як видається, є продовженням зловмисної спам-кампанії, яка розпочала розповсюдження вимога-програми Shade у жовтні 2018 року.

Кампанія січня 2019 року

Наша телеметрія показує жовтневу кампанію 2018 року, що тривала стабільними темпами до другої половини грудня 2018 року, зробивши перерву навколо Різдва, а потім відновившись у середині січня 2019 року вдвічі, як показано на малюнку 1. Графіки на графіку узгоджується з вихідними, що передбачає, що зловмисники надають перевагу адресам електронної пошти компанії.

Рисунок 1 - Виявлення шкідливих вкладень JavaScript, що поширюють Win32/Filecoder.Shade з жовтня 2018 року

Як вже згадувалося раніше, ця кампанія є частиною більш масштабної тенденції, яку ми спостерігали з початку 2019 року - повернення шкідливих вкладень JavaScript як широко використовуваного вектора атаки. На малюнку 2 показано такий розвиток подій, як це бачимо в нашій телеметрії.

Рисунок 2 - Виявлення шкідливого JavaScript, розповсюдженого за допомогою вкладень електронної пошти, які всі виявляються як JS/Danger.ScriptAttachment, за останній рік

Особливо слід зазначити, що кампанія, яка розповсюджує вимога-програму Shade у січні 2019 року, була найактивнішою в Росії - 52% від загальної кількості виявлених цих шкідливих вкладень JavaScript. Серед інших постраждалих країн - Україна, Франція, Німеччина та Японія, як видно на малюнку 3.

Рисунок 3 - Поширення виявлення ESET шкідливих вкладень JavaScript, що поширюють Win32/Filecoder.Shade між 1 січня 2019 року та 24 січня 2019 року

На основі нашого аналізу типова атака в січні 2019 року починається з доставки електронного листа, написаного російською мовою, із вкладеним ZIP-архівом під назвою “info.zip” або “inf.zip”.

Ці шкідливі електронні листи видаються як оновлення замовлення, здавалося б, надходять від законних російських організацій. Електронні листи, які ми бачили, видають себе за російський банк B&N Bank (примітка: нещодавно об’єднаний з банком Otkritie) та торгову мережу Magnit. В одному з електронних листів, виявлених системами ESET, англійською мовою є переклад:

Тема: Деталі замовлення

Я надсилаю вам деталі замовлення. Документ додається.

Денис Кудрашев, менеджер

Рисунок 4 - Приклад електронного листа зі спамом, використаного в кампанії в січні 2019 року

Архів ZIP містить файл JavaScript із назвою "Информация.js" (що в перекладі означає "Інформація" англійською мовою). Після вилучення та запуску файл JavaScript завантажує зловмисний завантажувач, виявлений продуктами ESET як Win32/Injector. Зловмисний навантажувач розшифровує та запускає остаточне корисне навантаження - програмне забезпечення-вимагатель Shade.

Зловмисний завантажувач завантажується з URL-адрес на скомпрометованих, законних сайтах WordPress, де він маскується під файл зображення. Для компрометації сторінок WordPress зловмисники застосовували масові атаки грубої сили за допомогою паролів, що здійснюються за допомогою автоматизованих ботів. Наші телеметричні дані показують сотні таких URL-адрес, які закінчуються рядком "ssj.jpg", розміщуючи шкідливий файл завантажувача.

Завантажувач підписується за допомогою недійсного цифрового підпису, який вимагає видачі Comodo, як показано на малюнку 5. Ім'я в розділі «Інформація про підписувача» та позначка часу є унікальними для кожного зразка.

Рисунок 5 - Фальшивий цифровий підпис, який використовується зловмисним завантажувачем

Крім цього, завантажувач намагається замаскуватися далі, видаючи себе законним системним процесом Процес виконання клієнтського сервера (csrss.exe). Він копіює себе в C: \ ProgramData \ Windows \ csrss.exe, де "Windows" - це прихована папка, створена шкідливим програмним забезпеченням, і зазвичай не знаходиться в ProgramData.

Рисунок 6 - Шкідливе програмне забезпечення, яке виглядає як системний процес та використовує деталі версії, скопійовані із законного двійкового файлу Windows Server 2012 R2

Вимагальник Shade

Остаточним корисним навантаженням цієї зловмисної кампанії є крипто-вимога-програмне програмне забезпечення під назвою Shade або Troldesh. Вперше побачений у дикій природі в кінці 2014 року, але часто повторно з’являється з цього часу, програма-вимагатель шифрує широкий спектр типів файлів на локальних дисках. В останній кампанії програма-вимога додає розширення .crypted000007 до зашифрованих файлів.

Інструкції щодо оплати подаються жертвам у файлі TXT російською та англійською мовами, який передається на всі диски на ураженому комп’ютері. Формулювання викупної ідентичності ідентичне тому, що було повідомлено про попередньо повідомлену кампанію в жовтні 2018 року.

Рисунок 7 - Примітка про викуп-викуп Shade від січня 2019 року

Як бути в безпеці

Щоб не стати жертвою зловмисного спаму, завжди перевіряйте справжність електронних листів перед тим, як відкривати будь-які вкладення або натискати на посилання. За необхідності зверніться до організації, яка, здавалося б, надсилає електронний лист, використовуючи контактні дані, вказані на їх офіційному веб-сайті.

Користувачам Gmail може бути корисно знати, що Gmail вже майже два роки блокує вкладення JavaScript як в отриманих, так і в надісланих електронних листах.

Користувачі інших служб електронної пошти, включаючи поштові сервери компаній, повинні покладатися на свою обізнаність - якщо вони не використовують якесь рішення безпеки, здатне виявляти та блокувати шкідливі файли JavaScript.

Кілька різних модулів у продуктах безпеки ESET самостійно виявляють та блокують шкідливі файли JavaScript.

Щоб уникнути компрометації веб-сайту WordPress, використовуйте надійний пароль і двофакторну автентифікацію та регулярно оновлюйте сам WordPress, а також плагіни та теми WordPress.