Лаборатория FortiGuard Labs столкнулась с двумя примерами фишинга на праздничную тематику, которые используют интерес людей к праздникам, что приводит к заражению вредоносным ПО и дальнейшей эксплуатации.
AgentTesla Spyware
FortiGuard Labs обнаружила, что в этом году филиал AgentTesla начал рождественские мероприятия раньше времени. Их электронное письмо было замаскировано так, будто оно пришло из ювелирного магазина в Дубае. Оно было отправлено в компанию, которая специализируется на очистке воды в Чили. В письме содержится просьба к получателю предоставить информацию о цене и наличии ювелирных изделий к Рождеству. Очевидным тревожным сигналом является то, что слово "Дубай" написано неправильно (помимо того, что компания, специализирующаяся на очистке воды, запрашивает цены на ювелирные изделия).
В электронном письме есть два вложения: "new designs.gz" содержит "new designs.exe", а "Inquiry lists.gz" содержит "Inquiry lists.exe". Хотя вложенные файлы имеют разные имена, они имеют одинаковый хэш файла (SHA2: c94eac21e05336aa64ccbc1726d0a2961880627973dae4c5483aaed33150eec5).
При выполнении c94eac21e05336aa64ccbc1726d0a2961880627973dae4c5483aaed33150eec5 помещает fkkvzetzm.exe, jfwxswcu.au3, igqyivch.prc и kywyozha.x в каталог %usertemp%. Затем он вызывает сценарий AutoIt (jfwxswcu.au3), запуская fkkvzetzm.exe (легитимную копию AutoIt3) с jfwxswcu.au3 в качестве аргумента.
Файл jfwxswcu.au3 представляет собой обфусцированный скрипт AutoIt, предназначенный для чтения и деобфускации файла igqyivch.prc, который содержит шеллкод. Затем шеллкод загружается в память через VirtualAlloc. Шеллкод, в свою очередь, загружает в память файл kywyozha.x. После загрузки kywyozha.x выполняет несколько задач, включая запуск копии запущенного процесса и проверку того, запущен ли он внутри 64-разрядного процесса.
Чтобы избежать обнаружения системными мониторами, такими как AV и EDR, он копирует ntdll.dll в память, чтобы использовать ее вместо той, что находится на диске. Затем он проверяет, не были ли определенные API в ntdll.dll изменены или подцеплены батутами. Затем он внедряет файл kywyozha.x в копию запущенного процесса.
Файл kywyozha.x является исполняемым файлом. Он называет себя 8845e90c-374f-4f68-a7a8-4bc7bad7be20.exe (SHA2: 0FCAE5DB73D10B022E86F7E0799073623FA5063A29054807E1F93A4016D8FC99). 8845e90c-374f-4f68-a7a8-4bc7bad7be20.exe - это вариант троянца AgentTesla infostealer, который использует Telegram (hxxps://api.telegram[.]org/bot5018340186:AAFKw8ktzY7O_6e1fhgEWq27H2aE-rsBGjA/) для своего сервера Command-and-Control (C2). Эта вредоносная программа может загружать и удалять файлы, красть учетные данные из браузеров, FTP и почтовых приложений, а также осуществлять кейлоггинг.
К счастью, компания, получившая письмо, не занимается ювелирным бизнесом и вряд ли открыла и запустила AgentTesla.
Indicators of Compromise
URLs
- api.telegram.org/bot5018340186:AAFKw8ktzY7O_6e1fhgEWq27H2aE-rsBGjA/
- pastebin.com/raw/PeJLUFC4
SHA256
- 0fcae5db73d10b022e86f7e0799073623fa5063a29054807e1f93a4016d8fc99
- 1f4118f5e843334e23e325784b5c4a8249315da7211c7c69d94d7a5a60d00d84
- 543d26c5081bdcda693c8dc3586a874319413e8e8ab762b8ad99341f37c4b3fa
- 5e715ff174547e66f9566232bc7edccebd93ae7f99e5cd3818040c13acec36f7
- c94eac21e05336aa64ccbc1726d0a2961880627973dae4c5483aaed33150eec5