Čuvajte se MS Word dokumenata u emailovima, možda se u njima kriju ransomware GandCrab i trojanac Ursnif

Vesti, 30.01.2019, 00:00 AM

Čuvajte se MS Word dokumenata u emailovima, možda se u njima kriju ransomware GandCrab i trojanac Ursnif

Istraživači kompanija Carbon Black i Cisco Talos otkrili su dve odvojene kampanje u kojima se distribuiraju trojanac Ursnif i ransomware GandCrab.

Iako se čini da su ove dve kampanje delo dve različite kriminalne grupe, one imaju mnogo sličnosti. Oba napada počinju fišing emailovima koji sadrže Microsoft Word dokument sa ugrađenim malicioznim makroima, a zatim se koristi Powershell da bi se isporučo malver bez fajla.

Ursnif je malvare koji krade osetljive informacije sa kompromitovanih računara: lozinke za bankovne račune, informacije o aktivnostima korisnika u pregledaču, prikuplja pritiske na tastere, informacije o sistemu i procesima i ostavlja na računaru dodatne backdoorove.

GandCrab, koji je otkriven ranije prošle godine, je veoma rasprostranjeni ransomware koji, kao i svaki drugi ransomware na tržištu, šifruje fajlove na zaraženom sistemu i insistira da žrtve plate otkupninu u digitalnoj valuti kako bi mogle da dešifruju fajlove. Njegovi autori traže od žrtava isplatu prvenstveno u Dashu, koji je komplikovan za praćenje.

Prvu kampanju otkrili su istraživači Carbon Blacka koji su pronašli oko 180 verzija MS Word dokumenta, koje su ciljale korisnike sa malicioznim VBS makroima.

Ako se uspešno izvrši, maliciozni VBS makro pokreće PowerShell skriptu, koja zatim koristi niz tehnika za preuzimanje i pokretanje i Ursnifa i GandCraba na ciljanim sistemima.

Sledeća faza infekcije je odgovorna za preuzimanje glavnog malicioznog sadržaja koji kompromituje sistem.

Prvi payload je PowerShell skripta koja procenjuje arhitekturu ciljanog sistema i zatim u skladu sa tim preuzima dodatni sadržaj sa web sajta Pastebin, koji se izvršava u memoriji, što otežava klasičnim antivirusnim tehnikama da otkriju njegove aktivnosti.

Finalni payload zatim instalira GandCrab ransomware na sistemu žrtve, sprečavajući korisnike da koriste sistem dok ne plate otkupninu.

U međuvremenu, malver takođe preuzima izvršni fajl Ursnifa sa servera i nakon izvršenja će uzeti “otisak prsta” sistema, nadgledati saobraćaj pregledača radi prikupljanja podataka, a zatim ih poslati na komandno-kontolni server napadača (C&C).

Druga kampanja koju su primetili istraživači u Cisco Talosu, koristi Microsoft Word dokument koji sadrži maliciozni VBA makro kako bi isporučio Ursnif.

Ovaj napad takođe kompromituje ciljane sisteme u više faza, počev od fišing emaila do izvršavanja zlonamernih PowerShell komandi, da bi preuzeo i instalirao Ursnif.

Kada se jednom pokrene na računaru žrtve, malver prikuplja informacije iz sistema, stavlja u CAB format fajla, a zatim takav fajl šalje svom serveru za komandu i kontrolu preko HTTPS bezbedne veze.

Istraživači Talosa su na blogu kompanije objavili listu indikatora kompromitovanja sistema, zajedno sa imenima payload fajlova koji se nalaze na kompromitovanim računarima. Ovi indikatori vam mogu pomoći da otkrijete i zaustavite Ursnif malver pre nego što zarazi vašu mrežu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Microsoft Edge od sada automatski blokira preuzimanje potencijalno neželjenih programa

Microsoft Edge od sada automatski blokira preuzimanje potencijalno neželjenih programa

Microsoft je objavio da će počev od Microsoft Edgea 80.0.338.0 preuzimanje potencijalno neželjenih aplikacija (PUA) moći da bude automatski bloki... Dalje

Bezbednosni propust Kr00k u Wi-Fi čipovima ugrožava oko milijardu uređaja

Bezbednosni propust Kr00k u Wi-Fi čipovima ugrožava oko milijardu uređaja

Istraživači kompanije ESET otkrili su bezbednosni propust koji je nazvan “Kr00k” (CVE-2019-15126) u široko korišćenim Wi-Fi čipovima... Dalje

Kontroverzna opcija za zaštitu privatnosti od sada podrazumevana za američke korisnike, a evo kako je vi možete aktivirati

Kontroverzna opcija za zaštitu privatnosti od sada podrazumevana za američke korisnike, a evo kako je vi možete aktivirati

Nakon kraćeg odlaganja, Mozilla je započela uvođenje funkcije DNS over HTTPS (DOH) kao podrazumevane za Firefox za sve korisnike u SAD. Iz kompanij... Dalje

WhatsApp ima grešku zbog koje morate paziti šta pišete u WhatsApp grupama

WhatsApp ima grešku zbog koje morate paziti šta pišete u WhatsApp grupama

WhatsApp je jedna od najpopularnijih platformi za razmenu poruka na planeti. Ovog meseca, kompanija je objavila da je prešla cifru od dve milijarde k... Dalje

Preminuo Zoran Modli

Preminuo Zoran Modli

Radijski voditelj, autor brojnih emisija, nekadašnji pilot i disk-džokej, preminuo je u 72. godini posle kraće i teške bolesti. Vest o smrti Zoran... Dalje