В наш почтовый ящик поступило очередное электронное письмо, содержащее стилер/келогер. Письмо замаскировано под деловое предложение, но содержит вредоносное вложение (в виде архива), распространяющее стилер/кейлогер.
Описание
Фламинговое письмо
Тема: CB 13407 521051 Confirmation Pricing (Обратите внимание на опечатку: "Confirmation" написано как "Confirmation"? В оригинале в вопросе написано "Confirmation" - это явная ошибка, характерная для фишинга).
Отправитель: Маскируется под Greg Crammond, Global Director of Quality Control, Master Fluid Solutions (Perrysburg, Ohio).
Текст письма выглядит как стандартный деловой запрос (уточнение предложения, увеличение MOQ, сжатые сроки). Это рассчитано на автоматическую реакцию сотрудников, работающих с закупками/продажами.
Настоящая цель письма - вложение. Оно выглядит как "деловой" документ, упомянутый в теме или якобы приложенный ("Confirmation Pricing").
Вопрос "are you on whatsapp?" - еще один тревожный сигнал. Мошенники часто стремятся увести общение в менее контролируемые мессенджеры для дальнейшего фишинга или социальной инженерии.
Обращение "Hi Dear": Нехарактерно для профессиональной переписки от директора крупной компании.
Грамматические ошибки и странные формулировки: "Malay" вместо "Malaysia", "please kindly check if it is OK", "make this quantity ready", "october ending" - звучит неестественно для носителя языка.
Вредоносный файл
По предварительному анализу вредоносный файл является Snake Keylogger. Вирус собирает информацию о системе, данные из браузеров.
Проверяет информацию о внешнем IP адресе, с использованием следующих служб:
- checkip.dyndns.org
- reallyfreegeoip.org
Данные отправляются по электронной почте, с использованием TLS SMTP сервера mail.endermekanik[.]com и через api.telegram.org
Тактики MITRE
| T1566 | Phishing |
| T1555.003 | Credentials from Web Browsers |
| T1552.001 | Credentials In Files |
| T1518 | Software Discovery |
| T1071 | Application Layer Protocol |
| T1071.003 | Mail Protocols |
| T1518.001 | Security Software Discovery |
| T1102 | Web Service |
| T1016 | System Network Configuration Discovery |
| T1012 | Query Registry |
| T1082 | System Information Discovery |
Индикаторы компрометации
IPv4
- 94.102.15.166
IPv4 Port Combinations
- 94.102.15.166:587
Emails
- gcrammond@masterfluids.com
Domains
- mail.endermekanik.com
MD5
- 7f1d339fdc28c50db85a6c0ce0ccb004
- abb743596a6c598c2167c374f14838cc
SHA1
- a669c1a76adea783c7c91b864bdd956f17c893de
- d1e069ee83ef1e5b173c4ba27ce98f845e4e9484
SHA256
- 4eb5e0550bf20f56ec5c902e997db09b91e3667731e2a6c39f6248676f6e9027
- edbd50a72860b2c2e994c081bacc3c6dc26fdb8c248928f34dcc1d6dd8dacc37
