Quote:‼️Ransomware kampanja u Srbiji cilja korisnike 7-Zip alata ‼️ Ako koristite 7-Zip, preporuka je da pročitate tekst, a isto tako i da uradite ažuriranje na poslednju dostupnu verziju.

Prethodnih dana smo primetili da se koristi infrastruktura od poznatih kompanija iz ?? za distribuciju malware-a, odnosno da se njihovi emailovi koriste za slanje emailova koji sadrže malware.

? Emailovi se šalju tačno osobama koje su zadužene za određene aktivnosti u kompaniji. Sadržaj emaila je baš onakav kakav bi žrtva očekivala od te kompanije da dobije. Ne mogu da navodim imena, ali u pitanju su velike kompanije od kojih očekujete da je sve legitimno. Bitno za napomenuti je to da nije u pitanju spoof email adrese.

? U sadržaju emaila se obično nalazi link koji dovodi do preuzimanja .zip fajla, ali se dešava i da bude u okviru emaila zip fajl, odnosno u attachmentu. U trenutku kad korisnik extractuje isti kroz 7-Zip, tad se automatski pokreće .js skripta, a koja dalje poziva powershell skripte i preuzima malware. Pretpostavljamo da napadači iskorišćavaju CVE-2024-11477. Tokom analize smo primetili da je urađen extract kroz 7-Zip, a da je 7-Zip proces pokrenuo maliciozan proces, pa zbog toga pretpostavka vezana za CVE-2024-11477.

? Nakon pokretanja powershell skripte, sa 3005[dot]filemail[dot]com se preuzima slika, a zapravo u slici je smešten payload. Nakon toga se sa paste[dot]ee preuzima drugi payload, a koji se na kraju izvršava kroz wscript.exe. Takođe smo primetili da se koristi duckdns[dot]org i Telegram za C2, pa je preporuka da se svi ovi domeni/adrese blokiraju na nivou firewall-a.

? Bitno je da napomenem da su napadači u ovoj kampanji obratili pažnju na to kako da bypass-uju popularne EDR alate, pa nije dovoljno samo imati EDR, već je potrebno i da se aktivno prate dešavanja na istom.

Ranije je ova vrsta malware-a distribuirana isto kroz phishing kampanje i korišćen je Office exploit da bi se pokrenule maliciozne powershell skripte koje bypass-uju UAC, Windows Defender, ... na računaru i na kraju dovode do pokretanja malware-a. Interesantno je to da malware kao malware nije sofisticiran, ali ima vrlo zanimljive funkcionalnosti kao što su infostealer, ransomware, keylogger, instalaciju drugog malware-a sa određenog url-a, krađa raznih crypto wallet-a, hVNC, ...