нова

Сред увеличения брой злонамерени прикачени файлове към JavaScript имейл, наблюдавани през януари 2019 г., изследователите на ESET са забелязали голяма вълна от разпространяващ рансъмуер спам, насочен към руски потребители

През януари 2019 г. се наблюдава драстичен ръст в откриването на злонамерени прикачени файлове към имейл, вектор на атака, който най-вече остава бездействащ през 2018 г. Сред „Новогодишното издание“ на злонамерени спам кампании, разчитащи на този вектор, открихме нова вълна езиков спам, който разпространява рансъмуер, известен като Shade или Troldesh и открит от ESET като Win32/Filecoder.

Кампанията изглежда е продължение на злонамерена спам кампания, която започна да разпространява рандом софтуера Shade през октомври 2018 г.

Кампанията през януари 2019 г.

Нашата телеметрия показва кампанията от октомври 2018 г., която се движи с постоянни темпове до втората половина на декември 2018 г., прави почивка около Коледа и след това възобновява в средата на януари 2019 г. удвоен размер, както се вижда на Фигура 1. Капките в графиката са изравнени с уикендите, което предполага, че нападателите предпочитат фирмените имейл адреси.

Фигура 1 - Откриване на злонамерени прикачени файлове на JavaScript, разпространяващи Win32/Filecoder.Shade от октомври 2018 г.

Както вече споменахме, тази кампания е част от по-голяма тенденция, която наблюдаваме от началото на 2019 г. - връщането на злонамерени прикачени файлове на JavaScript като широко използван вектор за атака. Фигура 2 показва това развитие, както се вижда в нашата телеметрия.

Фигура 2 - Откриване на злонамерен JavaScript, разпространен чрез прикачени файлове към имейл, всички от които са открити като JS/Danger.ScriptAttachment, през последната година

По-специално трябва да се отбележи, че кампанията за разпространение на рансъмуера Shade през януари 2019 г. е най-активна в Русия, като 52% от общите разкрития на тези злонамерени JavaScript прикачени файлове. Сред другите засегнати страни са Украйна, Франция, Германия и Япония, както се вижда на Фигура 3.

Фигура 3 - Разпространение на ESET открития на злонамерени JavaScript прикачени файлове, разпространяващи Win32/Filecoder.Shade между 1 януари 2019 г. и 24 януари 2019 г.

Въз основа на нашия анализ, типична атака в кампанията от януари 2019 г. започва с доставка на имейл, написан на руски език, с прикачен ZIP архив с име „info.zip“ или „inf.zip“.

Тези злонамерени имейли се представят като актуализации на поръчките, привидно идващи от легитимни руски организации. Имейлите, които видяхме, се представят за руската банка B&N Bank (забележка: наскоро обединена с Otkritie Bank) и търговската верига Magnit. В един от имейлите, открити от системите на ESET, преводът на английски е:

Тема: Подробности за поръчката

Изпращам ви подробности за поръчката. Документът е приложен.

Денис Кудрашев, управител

Фигура 4 - Пример за спам имейл, използван в кампанията от януари 2019 г.

ZIP архивът съдържа JavaScript файл с име „Информация.js“ (което в превод означава „Информация“ на английски). След като бъде извлечен и стартиран, JavaScript файлът изтегля злонамерен зареждащ файл, открит от продуктите на ESET като Win32/Injector. Злонамереният товарач дешифрира и стартира крайния полезен товар - рандом софтуера Shade.

Зловредният зареждащ файл се изтегля от URL адреси на компрометирани, легитимни сайтове на WordPress, където е маскиран като файл с изображение. За да компрометират страниците на WordPress, нападателите използваха масови груби атаки с парола, извършени чрез автоматизирани ботове. Нашите телеметрични данни показват стотици такива URL адреси, всички завършващи с низа „ssj.jpg“, хостващ злонамерения файл за зареждане.

Зареждащото устройство е подписано с невалиден цифров подпис, който твърди, че е издаден от Comodo, както се вижда на Фигура 5. Името в „Информация за подписващия“ и клеймото за време са уникални за всяка проба.

Фигура 5 - Фалшив цифров подпис, използван от зловредния товарач

Освен това, товарачът се опитва да се прикрие допълнително, представяйки се за легитимен процес на процеса на изпълнение на клиентския сървър (csrss.exe). Той се копира в C: \ ProgramData \ Windows \ csrss.exe, където “Windows” е скрита папка, създадена от зловредния софтуер, и обикновено не се намира в ProgramData.

Фигура 6 - Зловредният софтуер, представящ се за системен процес и използващ подробности за версията, копирани от легитимен двоичен файл на Windows Server 2012 R2

Рансъмуерът Shade

Крайният полезен товар на тази злонамерена кампания е крипто-рансъмуер, наречен Shade или Troldesh. За първи път се вижда в дивата природа в края на 2014 г., но често се появява отново, тъй като рансъмуерът криптира широк спектър от типове файлове на локални устройства. В последната кампания ransomware добавя разширението .crypted000007 към криптираните файлове.

Инструкциите за плащане се представят на жертвите в TXT файл на руски и английски език, който се добавя към всички устройства на засегнатия компютър. Формулировката на бележката за откуп е идентична с тази от предишната отчетена кампания от октомври 2018 г.

Фигура 7 - Бележката за откупуване на Shade от януари 2019 г.

Как да се пазим в безопасност

За да не станете жертва на злонамерен спам, винаги проверявайте автентичността на имейлите, преди да отваряте прикачени файлове или да щраквате върху връзки. Ако е необходимо, консултирайте се с организацията, която привидно изпраща имейла, използвайки данни за контакт, предоставени на официалния им уебсайт.

За потребителите на Gmail може да е полезно да знаят, че Gmail вече почти две години блокира прикачените файлове в получени и изпратени имейли.

Потребителите на други имейл услуги, включително фирмени пощенски сървъри, трябва да разчитат на тяхната осведоменост - освен ако не използват някакво решение за сигурност, способно да открива и блокира злонамерени JavaScript файлове.

Няколко различни модула в продуктите за защита на ESET независимо откриват и блокират злонамерени JavaScript файлове.

За да избегнете компрометиране на вашия уеб сайт на WordPress, използвайте силна парола и двуфакторно удостоверяване и се уверете, че редовно актуализирате самия WordPress, както и WordPress плъгини и теми.