Фишинговое вредоносное ПО, выдающее себя за Национальную налоговую службу (ННС)

phishing IOC

Аналитический центр AhnLab Security (ASEC) сообщает о значительном увеличении количества фишинговых писем, притворяющихся Национальной налоговой службой (ННС) во время подачи налоговых деклараций. Фишинговые письма, которые представляют себя как ННС, обычно используют разные методы доставки вредоносного программного обеспечения (ПО) и манипулируют адресами отправителей, чтобы создать видимость легитимности. В этих письмах могут быть прикреплены вредоносные файлы разного формата, такие как HTML, VBS, PPT, DLL, SCR, EXE, LNK и CHM. Каждый формат файла выполняет определенные вредоносные действия, такие как утечка данных, использование кейлоггеров, похищение информации о системе и учетных записей пользователей.

Описание

Наиболее интересными форматами файлов являются DLL и CHM. В случае DLL-файлов, они используются для выполнения вредоносных функций через перехват DLL. Файлы с расширением DLL подменяются вредоносными файлами, имитирующими легитимные файлы, такие как Haihaisoft PDF Reader. Что касается CHM-файлов, они являются скомпилированными HTML-файлами справки и обычно распространяются вместе с программными пакетами. Вредоносные CHM-файлы содержат скрипты, которые автоматически активируются при открытии файла. Файлы CHM могут притворяться под налоговые документы или файлы финансовых компаний.

В рассматриваемом случае DLL-файлы используются для распространения вредоносного ПО с помощью Git-репозитория, но в настоящее время доступ к репозиторию невозможен. Вредоносное ПО, обнаруженное в Git-репозитории, идентифицировано как XWorm, способное отслеживать веб-камеру и клавиатуру, а также краже системной информации и учетных записей пользователей.

Что касается CHM-файлов, они содержат вредоносные скрипты, которые автоматически активируются при выполнении. Файлы CHM обманывают пользователей, создавая окно помощи, которое выглядит обычным. Вместе с тем, CHM-файлы содержат вредоносный скрипт, который выполняется через MSHTA и доступается к определенному URL-адресу. Этот URL содержит закодированную команду PowerShell, которая в конечном итоге выполняет различные функции, такие как регистрация реестра Run, получение команд от C2-сервера и отправка результатов выполнения.

Indicators of Compromise

MD5

  • 05837a48b135d663e59ecc9f8b472296
  • 0b7a0d57437157f8695fdb1b3eb43186
  • 0d641051aa6752349e65d81c4a8d4ed0
  • 1432d0d6ef98a0e39954d44784c646de
  • 1c7db662e63fce6fb8122e5ff26a2f1d
Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий