CHM выдает себя за корейские финансовые институты и страховые компании

security IOC

В марте Центр реагирования на чрезвычайные ситуации AhnLab Security (ASEC) рассказал о вредоносной программе типа CHM, выдававшей себя за письма безопасности от финансовых институтов. В этой заметке речь пойдет о недавно обнаруженном распространении вредоносной программы типа CHM, использующей аналогичный метод выдачи себя за корейские финансовые институты и страховые компании.

CHM-файл имеет формат сжатого файла (RAR). При его исполнении на экран выводятся следующие справочные окна. Все они представляют собой справочники, замаскированные под сообщения корейских финансовых институтов и страховых компаний, и содержат такие сведения, как "лимит кредитной карты", "результаты снятия страховой комиссии" и "банковский договор".

Вредоносный скрипт, выполняемый в этот момент, показан ниже. Здесь есть некоторые изменения по сравнению со сценарием в ранее выявленных CHM-файлах. Тег Object и команда выполняются не сразу, а после составления строки и вставки ее в определенную область id по свойству innerHTML. Использование объектов быстрого доступа (ShortCut) и метод щелчка мыши такие же, как и в прошлых случаях.

Всего в этом скрипте выполняется 2 команды. Сначала декомпилируется CHM-файл по пути "C:\Users\Public\Libraries". После этого декомпилируется и создается файл "Docs.jse", который затем выполняется через wscript.

  1. hh,-decompile C:\Users\Public\Libraries [путь выполнения CHM]
  2. wscript,C:\Users\Public\Libraries\Docs.jse P

Файл "Docs.jse" представляет собой закодированный JavaScript. Его расшифрованный код показан ниже. В этом коде зашифрованы строки, используемые для вредоносных действий. По всей видимости, угрожающий агент скрыл некоторые строки, чтобы обойти файловое обнаружение.

В итоге сценарий добавляет "Docs.jse" к ключу Run для сохранения постоянства. После этого с помощью команды PowerShell производится попытка загрузки дополнительных вредоносных файлов. Дополнительный вредоносный файл загружается по пути "%tmp%\alg.exe", однако URL-адреса загрузки в настоящее время недоступны.

URL-адрес загрузки

  • hxxps://ppangz[.]mom/mjifi
  • hxxps://atusay[.]lat/kxydo
  • hxxps://labimy[.]ink/rskme
  • hxxps://crilts[.]cfd/cdeeb

Вредоносные программы этого типа могут нанести большой ущерб системе, поскольку в зависимости от типа дополнительно загруженных вредоносных файлов они способны выполнять различные вредоносные действия, например, перехватывать информацию. В частности, вредоносные программы, ориентированные на конкретных пользователей в Корее, могут содержать контент на интересующие пользователя темы, чтобы побудить его к выполнению вредоносной программы, поэтому пользователям следует воздерживаться от открытия писем из неизвестных источников и не выполнять их вложения. Кроме того, пользователям следует регулярно проверять свои ПК и обновлять средства защиты до последних версий.

Indicators of Compromise

URLs

  • https://atusay.lat/kxydo
  • https://crilts.cfd/cdeeb
  • https://labimy.ink/rskme
  • https://ppangz.mom/mjifi

MD5

  • 0f27c6e760c2a530ee59d955c566f6da
  • 59a924bb5cb286420edebf8d30ee424b
  • aaeb059d62c448cbea4cf96f1bbf9efa
  • bfe2a0504f7fb1326128763644c88d37
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий