Аналитический центр AhnLab SEcurity (ASEC) недавно обнаружил, что фишинговые файлы распространяются по электронной почте. Фишинговые файлы (HTML), прикрепленные к письмам, предлагают пользователям напрямую вставить (CTRL+V) и выполнить команды.
Злоумышленник отправлял письма с информацией об оплате услуг, обзорами инструкций по эксплуатации и т. д., чтобы побудить получателей открыть вложения. Когда пользователь открывает HTML-файл, появляется фон и сообщение, замаскированное под MS Word. В сообщении пользователю предлагается нажать кнопку «Как исправить», чтобы просмотреть документ Word в автономном режиме.
После нажатия кнопки «Как исправить» файл предлагает пользователю ввести [Win+R] → [CTRL+V] → [Enter], либо открыть терминал PowerShell и вручную ввести команду. Одновременно с этим вредоносная команда PowerShell, закодированная в Base64 с помощью JavaScript, декодируется и сохраняется в буфере обмена пользователя.
После выполнения описанных выше действий выполняется вредоносный сценарий PowerShell.
Команда PowerShell загружает HTA-файл с сайта C2 и выполняет его. Кроме того, она очищает буфер обмена, чтобы скрыть выполненную команду PowerShell. HTA выполняет команду PowerShell в C2, а Autoit3.exe внутри ZIP-файла использует скомпилированный вредоносный скрипт Autoit (script.a3x) в качестве аргумента для выполнения.
Indicators of Compromise
URLs
- http://dogmupdate.com/rdyjyany
- http://dogmupdate.com/yoomzhda
- http://flexiblemaria.com/iinkqrwu
- http://flexiblemaria.com/umkglnks
- http://mylittlecabbage.net/qhsddxna
- http://mylittlecabbage.net/xcdttafq
- https://jenniferwelsh.com/header.png
- https://linktoxic34.com/wp-content/themes/twentytwentytwo/dark.hta
- https://www.rockcreekdds.com/wp-content/1.hta
MD5
- 0b77babfa83bdb4443bb3c5f918545ae
- 30e2442555a4224bf15bbffae5e184ee
- 318f00b609039588ce5ace3bf1f8d05f
- 404bd47f17d482e139e64d0106b8888d
- 4b653886093a209c3d86cb43d507a53f
- 4d52ea9aa7cd3a0e820a9421d936073f
- 7484931957633b796f165061b0c59794
- 8b788345fe1a3e9070e2d2982c1f1eb2
- a66cc0139c199b37a32731592fb3ac0b
- a77becccca5571c00ebc9e516fd96ce8
- e0173741b91cabfecd703c20241c1108
- f2e4351aa516a1f2e59ade5d9e7aa1d6
