В ходе исследования злоумышленной кампании, направленной на Первый украинский международный банк (pumb[.]ua), компания SEKOIA обнаружила использование скрытого загрузчика вредоносного ПО, известного как Emmenhtal (или EmmenHTAl), представленного в Google как Peaklight.
Описание
Этот загрузчик, активный с начала 2024 года, используется финансовыми злоумышленниками для распространения вредоносных программ, таких как CryptBot и Lumma. В данной кампании наблюдается совместное использование загрузчика Emmenhtal с вредоносным ПО SmokeLoader, что позволяет злоумышленникам динамически развертывать дополнительные вредоносные программы.
В процессе атаки была обнаружена пятиэтапная схема заражения:
- Доставка 7z-архива через электронное письмо с обманчивым содержанием.
- Извлечение веб-ярлыка и поддельного PDF-документа из архива.
- Загрузка PowerShell-скрипта и выполнение вредоносного скрипта Emmenhtal, который загружает дополнительную вредоносную нагрузку.
- Запуск вредоносной программы SMOKELOADER с помощью шелл-кода, который был развернут при помощи загрузчика Emmenhtal.
- Исполнение вредоносной программы SmokeLoader, которая может быть использована для дальнейших атак.
Кампания начинается с доставки электронного письма, в котором присутствует архивный файл формата 7z. Затем, после извлечения файлов из архива, жертве показывается поддельный PDF-документ, содержащий легитимные банковские данные, чтобы сделать атаку более убедительной. После этого, через PowerShell и Mshta, выполняются вредоносные скрипты, загружающие вредоносные исполняемые файлы, в том числе Emmenhtal и SmokeLoader. В свою очередь, SmokeLoader может использоваться для дополнительных атак.
Особенностью данной кампании является использование модифицированной версии DCCW.exe, встроенной утилиты Windows, в качестве загрузчика для вредоносных скриптов. Злоумышленники модифицировали этот файл, чтобы сделать атаку более легитимной и незаметной.
Анализ данной вредоносной кампании является важным для обеспечения безопасности финансовых учреждений и пользователей, поскольку позволяет лучше понять методы и техники, используемые злоумышленниками.
Indicators of Compromise
IPv4
- 194.87.31.68
- 88.151.192.165
SHA256
- 3160da060f2392474cceee22eba65eb3ce6f8117e3fd84c606386c92bfc863bb
- 4ee62002f89dffa52405df9c082cba4d4dfa7de7a207cb3a3f37be76ca6454c4
- 537aa3ebc2b1cb9d43793e000dd5322ca780c7a274da5f46d5054b09196e2a1a
- a1706ec6772daa7a54c67117d5ce7b5fd5285f6245ad08f46b3b4176a7f1e021
- ae64762d044f4b108f2ff820c0744d199c4c33616af17c35c3634aef79c4e3ff
- dd510900d091a35f0ef6d906be087a1ae7969e3d75450cef475e1a032736cc20
- ea3c8dbe0b30fb6d5c68eb55454b2a9471e8e21abb4343306445b4905370f51c
