CSIS Blog: Forfalskede Wells Fargo spammails

Næsten synkront med gårsdagens spamrun, har en gruppe it-kiminelle skudt en ny storstilet kampagne i gang.

Denne gang foregiver e-mailen at komme fra Wells Fargo og har vedhæftet den skadelige kode som en fil, indpakket i zip. 

Den uønskede e-mail ankommer med følgende indhold:


Den vedhæftede fil har følgende egenskaber:
Copy_10292013.zip -> Copy_10292013.exe
(MD5:  93ccc1b516efc3365ceced8ae0b57ee2)

Hvis den vedhæftede fil åbnes og køres, af en uforsigtig modtager, vil koden droppe sig til windows temporære mappe med et vilkårligt filnavn. Dernæst vil den forbinde sig til en central server, hvorfra den vil hente og køre supplerende malware. Den centrale server (mellemrum indlagt af CSIS):  allison travels.com er allerede blokeret i CSIS Secure DNS. Domænet anvender følgende navneservere (mellemrum indlagt af CSIS):

ns1.twitter backlinks.com
ns2.twitter backlinks.com 

Udover at være en downloader, så indsamler koden også diverse oplysninger fra systemet som uploades til C&C serveren. Det gælder bl.a. browser historik og certifikat lageret. Og så ændrer den sikkerheds indstillinger for flere browsere ved at modificere registreringsdatasen.

En anden ændring, som foretages i registreringsdatabasen er, at tilføje C&C serveren til "websider der haves tillid til" zonen:

HKEY_LOCAL_MACHINESoftwareClassesCLSIDDomainsallison travels.com
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomainsallison travels.com

Denne manøvre gennemføres, så transporten af den supplerende malware kan gennemføres over SSL uden at brugeren ser en advarsel, da domænet gør brug af et selvsigneret certifikat.

En identifikation af den vedhæftede fil afslører, at der er tale om en downloader i "Upatre" klassen. Den henter og kører informationstyven ZeuS P2P.  

Antivirus detektion er stort set ikke eksisterende (3 / 45)

Antivirus    Result    Update
Agnitum         20131028
AhnLab-V3         20131029
AntiVir         20131029
Antiy-AVL         20131029
Avast         20131029
AVG     Win32/Heur     20131029
Baidu-International         20131029
BitDefender         20131029
Bkav         20131029
ByteHero         20131028
CAT-QuickHeal         20131029
ClamAV         20131029
Commtouch         20131029
Comodo         20131029
DrWeb         20131029
Emsisoft         20131029
ESET-NOD32         20131029
F-Prot         20131029
Fortinet         20131029
GData         20131029
Ikarus         20131029
Jiangmin         20131029
K7AntiVirus         20131028
K7GW         20131028
Kaspersky         20131029
Kingsoft         20130829
Malwarebytes     Backdoor.Bot     20131029
McAfee         20131029
McAfee-GW-Edition     Heuristic.LooksLike.Win32.Suspicious.J!81     20131029
Microsoft         20131029
MicroWorld-eScan         20131028
NANO-Antivirus         20131029
Norman         20131029
nProtect         20131029
Panda         20131029
Rising         20131029
Sophos         20131029
SUPERAntiSpyware         20131029
Symantec         20131029
TheHacker         20131029
TotalDefense         20131028
TrendMicro         20131029
TrendMicro-HouseCall         20131029
VBA32         20131029
VIPRE         20131029
ViRobot         20131029