Недавно распространение Qakbot через OneNote было вновь подтверждено, и было обнаружено, что в этой недавней атаке использовался файл справки Windows (CHM).
После выполнения файла OneNote он предлагает пользователям нажать на кнопку Open (Открыть) вместе с образом Microsoft Azure, как показано ниже. ISO-файл скрыт внутри расположения этой кнопки, и как только пользователь нажимает кнопку Open, ISO-файл создается в папке temp и монтируется.
CHM, замаскированный под файл README, находится внутри ISO, побуждая пользователя открыть его.
После выполнения CHM-файла отображается обычный экран справки о подключении к сети, что затрудняет пользователю заметить вредоносное поведение.
Вредоносный скрипт, используемый без ведома пользователя, показан ниже. Вредоносная и закодированная команда PowerShell выполняется через CMD. Эта команда выполняется с помощью метода Click, используемого аналогично существующим вредоносным программам CHM.
Команда пытается загрузить дополнительные вредоносные файлы с нескольких URL-адресов и сохранить их по пути %TEMP%\antepredicamentPersecutory.tuners. Видя, как после этого она выполняется через rundll32, можно предположить, что загружаются файлы DLL.
Indicators of Compromise
URLs
- https://carladvogadatributaria.com/tvnq9/i8zBwKW
- https://citytech-solutions.com/6Mh1k/OJMPf
- https://erg-eg.com/ocmb/xvjmmvS
- https://gsscorporationltd.com/okSfj/rAVykcQiX
- https://hotellosmirtos.com/sjn/uhidwrQ9Hz
- https://mrcrizquna.com/L7ccN/kz5AeBZ6
- https://nayadofoundation.org/wXaKm/SQ2wfto2vosn
- https://zainco.net/OdOU/9IAsdunbnH
MD5
- 2ce926649092b4aa642ba6ed1fe0f191
- dffd7026f7508ae69c1b23ebd33ed615