CERT-UA получена информация о фактах распространения 08.11.2022 электронных писем с темой "Увага! Шкідливе програмне забезпечення (CERT-UA)" от имени CERT-UA с использованием сервиса @online.ua (справочно, электронный адрес "sbu@online[.]ua" фигурирует в нескольких публичных базах скомпрометированных данных).
В приложении к электронному письму находится архив "ESET_scanner.rar", содержащий файл "ESET Online Scanner.exe". В случае запуска файла, последний имитирует сканирование компьютера, выполняя операцию рекурсивного поиска файлов с расширениями: ".exe", ".dll", ".sys".
После нажатия на кнопки "Stop", "OK", будет выполнена функция "Form_Closed_Handler", что приведет к загрузке, сохранению на диске с расширением ".docx" и запуску файла (функции "DownloadBySFTP", "DumpToFile" и "RunExecutable", соответственно). При этом, загрузка пейлоада ("/home/gwesvnw/eset.yar") осуществляется по протоколу SFTP с использованием библиотеки "Renci.SshNet" (hxxps://github[.]com/ArsenShnurkov/Renci.SshNet).
Indicators of Compromise
IPv4
- 185.225.114.108
IPv4 Port Combinations
- 23.216.147.64:443
URLs
- sftp://185.225.114.108:48765
Emails
- sbu@online.ua
MD5
- 1a0ba82f10fec938ed30937573460401
- 3af7c0288267fc5503159e9d41f2474e
- e63f10aa0eb010b025ad36d5d5a1b026
SHA1
SHA256
- 1042178b80ea47a1e6c26ced66c26f93a5d79d76d3dc329bc1076b11f9fdaa57
- a514e1121cf204c972cad669c0935ecea92aa558e34be6cb66cc7ba946c0392b
- cc9b88c08d236aa543ec353de5c9d56781b4741beef96e888785dbf1e5020cd9