В марте Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) рассказал о вредоносной программе типа CHM, выдававшей себя за письма безопасности от финансовых институтов. В этой заметке речь пойдет о недавно обнаруженном распространении вредоносной программы типа CHM, использующей аналогичный метод выдачи себя за корейские финансовые институты и страховые компании.
CHM-файл имеет формат сжатого файла (RAR). При его исполнении на экран выводятся следующие справочные окна. Все они представляют собой справочники, замаскированные под сообщения корейских финансовых институтов и страховых компаний, и содержат такие сведения, как "лимит кредитной карты", "результаты снятия страховой комиссии" и "банковский договор".
Вредоносный скрипт, выполняемый в этот момент, показан ниже. Здесь есть некоторые изменения по сравнению со сценарием в ранее выявленных CHM-файлах. Тег Object и команда выполняются не сразу, а после составления строки и вставки ее в определенную область id по свойству innerHTML. Использование объектов быстрого доступа (ShortCut) и метод щелчка мыши такие же, как и в прошлых случаях.
Всего в этом скрипте выполняется 2 команды. Сначала декомпилируется CHM-файл по пути "C:\Users\Public\Libraries". После этого декомпилируется и создается файл "Docs.jse", который затем выполняется через wscript.
- hh,-decompile C:\Users\Public\Libraries [путь выполнения CHM]
- wscript,C:\Users\Public\Libraries\Docs.jse P
Файл "Docs.jse" представляет собой закодированный JavaScript. Его расшифрованный код показан ниже. В этом коде зашифрованы строки, используемые для вредоносных действий. По всей видимости, угрожающий агент скрыл некоторые строки, чтобы обойти файловое обнаружение.
В итоге сценарий добавляет "Docs.jse" к ключу Run для сохранения постоянства. После этого с помощью команды PowerShell производится попытка загрузки дополнительных вредоносных файлов. Дополнительный вредоносный файл загружается по пути "%tmp%\alg.exe", однако URL-адреса загрузки в настоящее время недоступны.
URL-адрес загрузки
- hxxps://ppangz[.]mom/mjifi
- hxxps://atusay[.]lat/kxydo
- hxxps://labimy[.]ink/rskme
- hxxps://crilts[.]cfd/cdeeb
Вредоносные программы этого типа могут нанести большой ущерб системе, поскольку в зависимости от типа дополнительно загруженных вредоносных файлов они способны выполнять различные вредоносные действия, например, перехватывать информацию. В частности, вредоносные программы, ориентированные на конкретных пользователей в Корее, могут содержать контент на интересующие пользователя темы, чтобы побудить его к выполнению вредоносной программы, поэтому пользователям следует воздерживаться от открытия писем из неизвестных источников и не выполнять их вложения. Кроме того, пользователям следует регулярно проверять свои ПК и обновлять средства защиты до последних версий.
Indicators of Compromise
URLs
- https://atusay.lat/kxydo
- https://crilts.cfd/cdeeb
- https://labimy.ink/rskme
- https://ppangz.mom/mjifi
MD5
- 0f27c6e760c2a530ee59d955c566f6da
- 59a924bb5cb286420edebf8d30ee424b
- aaeb059d62c448cbea4cf96f1bbf9efa
- bfe2a0504f7fb1326128763644c88d37