Фишинговая атака! Под видом делового письма скрывается вирус-кейлогер

Stealer

В наш почтовый ящик поступило очередное электронное письмо, содержащее стилер/келогер. Письмо замаскировано под деловое предложение, но содержит вредоносное вложение (в виде архива), распространяющее стилер/кейлогер.

Описание

Фламинговое письмо

Тема: CB 13407 521051 Confirmation Pricing (Обратите внимание на опечатку: "Confirmation" написано как "Confirmation"? В оригинале в вопросе написано "Confirmation" - это явная ошибка, характерная для фишинга).

Отправитель: Маскируется под Greg Crammond, Global Director of Quality Control, Master Fluid Solutions (Perrysburg, Ohio).

Фламинговое писььмо

Текст письма выглядит как стандартный деловой запрос (уточнение предложения, увеличение MOQ, сжатые сроки). Это рассчитано на автоматическую реакцию сотрудников, работающих с закупками/продажами.

Настоящая цель письма - вложение. Оно выглядит как "деловой" документ, упомянутый в теме или якобы приложенный ("Confirmation Pricing").

Вопрос "are you on whatsapp?" - еще один тревожный сигнал. Мошенники часто стремятся увести общение в менее контролируемые мессенджеры для дальнейшего фишинга или социальной инженерии.

Обращение "Hi Dear": Нехарактерно для профессиональной переписки от директора крупной компании.

Грамматические ошибки и странные формулировки: "Malay" вместо "Malaysia", "please kindly check if it is OK", "make this quantity ready", "october ending" - звучит неестественно для носителя языка.

Вредоносный файл

По предварительному анализу вредоносный файл является Snake Keylogger. Вирус собирает информацию о системе, данные из браузеров.

Проверяет информацию о внешнем IP адресе, с использованием следующих служб:

  • checkip.dyndns.org
  • reallyfreegeoip.org

Данные отправляются по электронной почте, с использованием TLS SMTP сервера mail.endermekanik[.]com и через api.telegram.org

Тактики MITRE

T1566 Phishing
T1555.003 Credentials from Web Browsers
T1552.001 Credentials In Files
T1518 Software Discovery
T1071 Application Layer Protocol
T1071.003 Mail Protocols
T1518.001 Security Software Discovery
T1102 Web Service
T1016 System Network Configuration Discovery
T1012 Query Registry
T1082 System Information Discovery

Индикаторы компрометации

IPv4

  • 94.102.15.166

IPv4 Port Combinations

  • 94.102.15.166:587

Emails

  • gcrammond@masterfluids.com

Domains

  • mail.endermekanik.com

MD5

  • 7f1d339fdc28c50db85a6c0ce0ccb004
  • abb743596a6c598c2167c374f14838cc

SHA1

  • a669c1a76adea783c7c91b864bdd956f17c893de
  • d1e069ee83ef1e5b173c4ba27ce98f845e4e9484

SHA256

  • 4eb5e0550bf20f56ec5c902e997db09b91e3667731e2a6c39f6248676f6e9027
  • edbd50a72860b2c2e994c081bacc3c6dc26fdb8c248928f34dcc1d6dd8dacc37
Комментарии: 0