Pojawił się spam z trojanem bankowym DanaBot

[Grandalf]

Spam z załączoną rzekomą fakturą od „Bartosz Wozniak z Biuro POL-INVEST” jest wirusem próbującym pobrać z ukraińskiego serwera trojana bankowego DanaBot.

Oryginalna wiadomość:

Od: Bartosz Wozniak

Treść: Dzień dobry, w załączniku znajduje się faktura. Faktura VAT – sprzedaży nr. 13/05/2018

Z poważaniem, Bartosz Wozniak Biuro POL-INVEST.

Załącznik „FV_001762.pdf.exe” po wypakowaniu na pierwszy rzut oka jest plikiem PDF bez ikonki, ale tak naprawdę po zagłębieniu się w szczegóły, zawiera podwójne rozszerzenie i jest plikiem wykonywalnym EXE.

W tej kampanii po raz kolejny mamy do czynienia z serwerami SMTP nazwa.pl, które są niepoprawnie zabezpieczone — pozwalają spamerom wysyłać złośliwe załączniki w „imieniu” serwera SMTP firmy Nazwa.pl. W tym przypadku oszust wysłał spam z serwera poczty, z którego korzysta firma Comimport sp. z o.o.. Przestępca w wiadomości mailowej podszywa się pod POL-INVEST — takich firm znaleźliśmy kilka, dlatego trudno jednoznacznie ustalić tę docelową.

Podejrzewamy, że wykorzystany malware w tej kampanii jest powiązany z tą wcześniejszą (albo z dropperem), o której pisaliśmy dwa dni temu. Całkiem prawdopodobne, że ta kampania ma pewne cechy wspólne z podszywaniem się pod

Zaloguj lub Zarejestruj się aby zobaczyć!

. Malware według nomenklatury antywirusa Eset w obu przypadkach wykrywane jest jako Win32/TrojanDropper.Danabot.C i pojawiło się na komputerach w Polsce, a wcześniej

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Tradycyjnie spam wysyłany jest z serwerów nazwa.pl:

ane151.rev.netart.pl ([85.128.213.151]:31061)

Spamer do serwera nazwa.pl loguje się z adresu IP:

80.79.119.232

Hash załącznika .EXE po wypakowaniu .ZIP:

83f6ca98027ddb048133a5b01ca6a110ff1c9d7d2de16152b4670830b4100a1d

Potencjalne nazwy załączników:

FV_001762.zip

Próby podszywania się pod adresy mailowe:

biuro@cominport.nazwa.pl

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Aktualizacja tematu:
Analiza zmasowanego ataku złośliwego oprogramowania na konta Polaków. Autorką analizy jest Aleksandra Kwiecińska, pracująca w zespole ComCERT.

Od kilku dni do skrzynek Polaków trafia ogromna fala złośliwego oprogramowania. Wiele jest adresów nadawców, wiele rodzajów fałszywych wiadomości, lecz każda niesie jeden z ten sam ładunek – bankowego konia trojańskiego DanaBot.

Czasem zdarza się, że przez kilka lub kilkanaście dni z rzędu każdy analizowany przez nas przypadek ataku okazuje się należeć do tej samej kampanii. Taka sytuacja trwa od kilku dni, a codziennie trafiają do nas świeże próbki. Poniżej możecie przeczytać analizę złośliwego oprogramowania, które przestępcy chcą umieścić na Waszych komputerach.

Wstęp
W ciągu bieżącego tygodnia obserwujemy kampanie e-mailowe dystrybuujące złośliwe oprogramowanie, skierowane do polskich użytkowników. Wiadomości zawierają załączniki z archiwami ZIP. Archiwa, w zależności od wersji, zawierają skrypt VBS, albo plik wykonywalny w formacie PE. Po wstępnej analizie okazało się, że jest to DanaBot, czyli oprogramowanie dystrybuowane również w e-mailach wysyłanych z serwerów firmy ubezpieczeniowej ERGO Hestia. Należy zaznaczyć, że kampania mailowa była dobrze dopracowana – nazwisko nadawcy i nazwa firmy wyglądały wiarygodnie, a treść była poprawna pod względem gramatycznym.

Nadawca sugerował, że w załączniku znajdują się dokumenty finansowe (faktury, zestawienia płatności, itd.), zaś domena, z której pochodził adres e-mail była zgodna z nazwą firmy, która przysyłała „fakturę”.

Downloader
W niektórych wersjach kampanii w załączonym archiwum znajdował się skrypt pełniący rolę downloadera. Faktyczny kod był zaciemniony za pomocą prostej techniki, polegającej na zakodowaniu kolejnych znaków skryptu w postaci liczb (odpowiadających ich kodowi ASCII) i dodaniu do każdego z nich pewnej liczby.

Po zdjęciu zaciemnienia otrzymaliśmy czytelny i dobrze sformatowany kod. Okazało się, że jest to dobrze znany ARS VBS Loader, następca SafeLoader, który w 2015 roku sprzedawany był na rosyjskich forach, a

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Po uruchomieniu skrypt zbiera podstawowe dane o lokalnym systemie, takie jak: nazwa i wersja systemu operacyjnego, nazwa użytkownika i komputera, informacje o programach antywirusowych, ilości pamięci RAM, architekturze procesora. Zebranymi danymi posługuje się w komunikacji z C&C (Command & Control) wysyłając żądania POST o następującej strukturze:

W obserwowanej kampanii loader komunikował się z serwerem:

Zaloguj lub Zarejestruj się aby zobaczyć!

. W odpowiedzi na zadane żądanie zainfekowany komputer przyjmuje z serwera komendy takie jak:

• download – pobranie i wykonanie pliku wykonywalnego,
• plugin – pobranie i załadowanie dodatkowego modułu w postaci dll,
• update – pobranie aktualizacji,
• uninstall – dezinstalacja samego siebie.

Ponadto loader posiada zdolność przetrwania kolejnych rozruchów komputera modyfikując w tym celu klucz rejestru HKCU:\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Ponadto jeśli połączenie się z C&C zakończy się niepowodzeniem, downloader będzie próbować się przełączyć do innego C&C – o ile taki adres zostanie dostarczony w treści skryptu. W innej zaobserwowanej wersji downloader komunikował się z adresem ip 198.12.113.17.

Payload
W obserwowanej kampanii downloader pobierał złośliwe oprogramowanie o nazwie DanaBot po raz pierwszy

Zaloguj lub Zarejestruj się aby zobaczyć!

. DanaBot to trojan bankowy wykradający m.in dane uwierzytelniające do logowania ze stron internetowych określonych przez botmastera. Funkcja ta realizowana jest dzięki webinjectom, czyli technice polegającej na wstrzyknięciu złośliwego skryptu do kodu atakowanej strony internetowej w momencie gdy użytkownik zdecyduje się ją otworzyć w przeglądarce internetowej. Poniżej przykładowy inject (na stronę BOŚ Bank):

Kiedy użytkownik wchodzi z zainfekowanego komputera na stronę BOŚ Banku służącą do logowania (

Zaloguj lub Zarejestruj się aby zobaczyć!

), do kodu strony doklejany jest następujący skrypt:

Jak widać, ładowany jest skrypt z lokalizacji my9rep/myjs28_frr_s40.js. Jedną z jego funkcjonalności jest kradzież danych, które użytkownik podaje w celu zalogowania się do banku. Skrypt pobierany jest z domeny brasko.co.

Dane użytkownika przesyłane są jako argumenty do skryptu /my9rep/777.php, który zwraca kod innego skryptu js opisujący działanie, jakie ma zostać podjęte (w przypadku podania nieprawidłowych danych otrzymuje się np. polecenie oczekiwania).

Dla każdego banku, na który został napisany inject skrypt jest inny (strona musi zostać obsłużona w inny sposób). Uproszczona lista adresów, które potencjalnie mogą być zaatakowane injectami została zamieszczona poniżej, a

Zaloguj lub Zarejestruj się aby zobaczyć!

znajdziecie oryginalny plik z pełnymi injectami.

Spoiler: POKAŻ

Zaloguj lub Zarejestruj się aby zobaczyć!

W kodzie niektórych skryptów widoczne są napisy, które sugerują, że autorzy strony próbują wykonać przelew, co miałoby być możliwe dzięki wyłudzeniu od użytkownika w formularzu danych pochodzących z SMS-a autoryzującego płatność:

Niektóre strony bankowe, obsługiwane są poprzez całkowitą ich podmianę, np. dla serwisu iPKO istnieje odpowiednik strony na serwerze przestępców:

​

Podmieniona wersja różni się jednak od oryginalnej (iPKO ma już od pewnego czasu nowy interfejs), zatem uważny użytkownik może zauważyć różnicę.

Trojan komunikuje się ze swoim C&C pod adresem 176.119.1.104.Wysyła do niego żądania GET o następującej strukturze:

Znaczenie parametrów:

• a – ID kampanii,
• b – architektura system operacyjnego (32/64),
• d – losowa wartość (nonce ?),
• g – losowa wartość (nonce ?),
• i – poziom integralności,
• u – czy użytkownik ma uprawnienia administratora (1 – tak, 0 – nie),
• v – wersja systemu operacyjnego,
• x – licznik żądań,
• e – klucz szyfrowania (AES) służący do rozpakowania następnej warstwy payloadu.

W odpowiedzi na tak skonstruowane żądania pobierane były moduły w postaci dll (w wersjach pochodzących różnych kampanii była różna ich liczba, najczęściej cztery). Trojan pobiera również config dotyczący procesów użytkownika związanych z kryptowalutami i kryptografią:

• ETHEREUM.EXE
• -QT*.EXE
• KLIENT.EXE (???)
• VER.EXE
• BITCONNECT.EXE
• COIN-QT-*.EXE
• ZCASH.EXE
• COMARCHCRYPTOSERVER.EXE
• CARDSERVER.EXE
• ELEKTRON.EXE
• EXPANSE.EXE

Podobnie jak w zagranicznym odpowiedniku można znaleźć w konfiguracji nazwy plików:

• \WALLET.DAT
• \DEFAULT_WALLET

Lista procesów i plików różni się od listy, którą podawał Proofpoint. Podobnie jak w przypadku zagranicznego odpowiednika do serwera C&C wysyłane są zrzuty ekranu zainfekowanego komputera (i inne wrażliwe dane). Można przypuszczać, że wszystkie kampanie są ze sobą powiązane i pochodzą od jednego aktora, o czym świadczy zbieżna konfiguracja i użycie tej samej domeny w celu zbierania danych.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!