Новая масштабная кампания по распространению вредоносного ПО через ряд ранее взломанных учетных записей Certified E-Mail и направленная на другие электронные рассылки УИК, была обнаружена и пресечена CERT-AGID.
Как и в июле, активность злоумышленников началась вскоре после полуночи и продолжалась не более часа. В частности, согласно данным, предоставленным менеджерами УИК, имеются доказательства отправки электронных писем с 01:27 до 02:14.
Электронное сообщение, использованное в кампании, также очень похоже на то, которое было разослано в июле для распространения Vidar: незначительно меняется VBS-код, содержащийся в ZIP-файле, загружаемом жертвой по ссылке 'Invoice'.
На этот раз исполняемый файл Vidar загружается с помощью файла (.gif - содержимое которого подверглось XOR), который может быть загружен только по запросу с использованием User-Agent 'CryptoAPI'.
Indicators of Compromise
Domains
- martinelliglobal.com
URLs
- https://martinelliglobal.com/file/dmM2PGCY.gif
- https://martinelliglobal.com/JiNZYvfDpE
- https://martinelliglobal.com/Ml8gJiUqkS
- https://martinelliglobal.com/p9awiydFdo
MD5
- 9d0174b44987e08999d2596684b2ea4a
- baa7e2906129e83e1964455f0f34f310
SHA1
- 1c3ca7215a4309f8bb3dc6ad75d7bc794e7c35f3
- 4d475dca3de6fe55e244dbf13931d994b12f64e9
SHA256
- 8c591e9b1e295c0ea04d53ad3d795a1c1fe64abb9810a2e1103251324173c23c
- b215df3d6e7de20dd8a451ebbcb9b807b987ffa22d6281ac0d2ace46d32da62d