Čuvajte se MS Word dokumenata u emailovima, možda se u njima kriju ransomware GandCrab i trojanac Ursnif

Vesti, 30.01.2019, 00:00 AM

Čuvajte se MS Word dokumenata u emailovima, možda se u njima kriju ransomware GandCrab i trojanac Ursnif

Istraživači kompanija Carbon Black i Cisco Talos otkrili su dve odvojene kampanje u kojima se distribuiraju trojanac Ursnif i ransomware GandCrab.

Iako se čini da su ove dve kampanje delo dve različite kriminalne grupe, one imaju mnogo sličnosti. Oba napada počinju fišing emailovima koji sadrže Microsoft Word dokument sa ugrađenim malicioznim makroima, a zatim se koristi Powershell da bi se isporučo malver bez fajla.

Ursnif je malvare koji krade osetljive informacije sa kompromitovanih računara: lozinke za bankovne račune, informacije o aktivnostima korisnika u pregledaču, prikuplja pritiske na tastere, informacije o sistemu i procesima i ostavlja na računaru dodatne backdoorove.

GandCrab, koji je otkriven ranije prošle godine, je veoma rasprostranjeni ransomware koji, kao i svaki drugi ransomware na tržištu, šifruje fajlove na zaraženom sistemu i insistira da žrtve plate otkupninu u digitalnoj valuti kako bi mogle da dešifruju fajlove. Njegovi autori traže od žrtava isplatu prvenstveno u Dashu, koji je komplikovan za praćenje.

Prvu kampanju otkrili su istraživači Carbon Blacka koji su pronašli oko 180 verzija MS Word dokumenta, koje su ciljale korisnike sa malicioznim VBS makroima.

Ako se uspešno izvrši, maliciozni VBS makro pokreće PowerShell skriptu, koja zatim koristi niz tehnika za preuzimanje i pokretanje i Ursnifa i GandCraba na ciljanim sistemima.

Sledeća faza infekcije je odgovorna za preuzimanje glavnog malicioznog sadržaja koji kompromituje sistem.

Prvi payload je PowerShell skripta koja procenjuje arhitekturu ciljanog sistema i zatim u skladu sa tim preuzima dodatni sadržaj sa web sajta Pastebin, koji se izvršava u memoriji, što otežava klasičnim antivirusnim tehnikama da otkriju njegove aktivnosti.

Finalni payload zatim instalira GandCrab ransomware na sistemu žrtve, sprečavajući korisnike da koriste sistem dok ne plate otkupninu.

U međuvremenu, malver takođe preuzima izvršni fajl Ursnifa sa servera i nakon izvršenja će uzeti “otisak prsta” sistema, nadgledati saobraćaj pregledača radi prikupljanja podataka, a zatim ih poslati na komandno-kontolni server napadača (C&C).

Druga kampanja koju su primetili istraživači u Cisco Talosu, koristi Microsoft Word dokument koji sadrži maliciozni VBA makro kako bi isporučio Ursnif.

Ovaj napad takođe kompromituje ciljane sisteme u više faza, počev od fišing emaila do izvršavanja zlonamernih PowerShell komandi, da bi preuzeo i instalirao Ursnif.

Kada se jednom pokrene na računaru žrtve, malver prikuplja informacije iz sistema, stavlja u CAB format fajla, a zatim takav fajl šalje svom serveru za komandu i kontrolu preko HTTPS bezbedne veze.

Istraživači Talosa su na blogu kompanije objavili listu indikatora kompromitovanja sistema, zajedno sa imenima payload fajlova koji se nalaze na kompromitovanim računarima. Ovi indikatori vam mogu pomoći da otkrijete i zaustavite Ursnif malver pre nego što zarazi vašu mrežu.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Zašto je LastPass odbio da pomogne policiji u slučaju protiv osumnjičenog za prodaju narkotika

Američka Agencija za borbu protiv narkotika (DEA), tražila je od LastPassa, proizvođača jednog od najpopularnijih menadžera lozinki, informacije ... Dalje

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija potvrdila da su proizvodi kompanije Kaspersky Lab bezbedni

Evropska komisija zvanično je potvrdila da „ne poseduje bilo kakav dokaz o potencijalnim problemima povezanim sa korišćenjem proizvoda kompan... Dalje

Kaspersky otkrio detalje o sigurnosnom propustu svih verzija Windowsa, evo zašto zakrpu morate instalirati odmah

Kaspersky otkrio detalje o sigurnosnom propustu svih verzija Windowsa, evo zašto zakrpu morate instalirati odmah

Jedan od sigurnosnih propusta koje je Microsoft ispravio 9. aprila kada je objavio mesečni paket zakrpa je ranjivost nultog dana koju su otkrili stru... Dalje

Hakeri su ipak mogli da čitaju emailove Microsoftovih korisnika

Hakeri su ipak mogli da čitaju emailove Microsoftovih korisnika

U subotu je Microsoft potvrdio da su neki korisnici email servisa kompanije bili meta hakera. Haker ili grupa hakera su najpre hakovali nalog korisni... Dalje

Microsoft poslao upozorenje korisnicima da su hakeri pristupali njihovim informacijama

Microsoft poslao upozorenje korisnicima da su hakeri pristupali njihovim informacijama

Microsoft je objavio da je ranije ove godine kompanija pretrpela hakerski napad i da su hakeri mogli da pristupe određenim informacijama o korisničk... Dalje