Næsten synkront med gårsdagens spamrun, har en gruppe it-kiminelle skudt en ny storstilet kampagne i gang.
Denne gang foregiver e-mailen at komme fra Wells Fargo og har vedhæftet den skadelige kode som en fil, indpakket i zip.
Den uønskede e-mail ankommer med følgende indhold:
Den vedhæftede fil har følgende egenskaber:
Copy_10292013.zip -> Copy_10292013.exe
(MD5: 93ccc1b516efc3365ceced8ae0b57ee2)
Hvis den vedhæftede fil åbnes og køres, af en uforsigtig modtager, vil koden droppe sig til windows temporære mappe med et vilkårligt filnavn. Dernæst vil den forbinde sig til en central server, hvorfra den vil hente og køre supplerende malware. Den centrale server (mellemrum indlagt af CSIS): allison travels.com er allerede blokeret i CSIS Secure DNS. Domænet anvender følgende navneservere (mellemrum indlagt af CSIS):
ns1.twitter backlinks.com
ns2.twitter backlinks.com
Udover at være en downloader, så indsamler koden også diverse oplysninger fra systemet som uploades til C&C serveren. Det gælder bl.a. browser historik og certifikat lageret. Og så ændrer den sikkerheds indstillinger for flere browsere ved at modificere registreringsdatasen.
En anden ændring, som foretages i registreringsdatabasen er, at tilføje C&C serveren til "websider der haves tillid til" zonen:
HKEY_LOCAL_MACHINESoftwareClassesCLSIDDomainsallison travels.com
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionInternet SettingsZoneMapDomainsallison travels.com
Denne manøvre gennemføres, så transporten af den supplerende malware kan gennemføres over SSL uden at brugeren ser en advarsel, da domænet gør brug af et selvsigneret certifikat.
En identifikation af den vedhæftede fil afslører, at der er tale om en downloader i "Upatre" klassen. Den henter og kører informationstyven ZeuS P2P.
Antivirus detektion er stort set ikke eksisterende (3 / 45)
Antivirus Result Update
Agnitum 20131028
AhnLab-V3 20131029
AntiVir 20131029
Antiy-AVL 20131029
Avast 20131029
AVG Win32/Heur 20131029
Baidu-International 20131029
BitDefender 20131029
Bkav 20131029
ByteHero 20131028
CAT-QuickHeal 20131029
ClamAV 20131029
Commtouch 20131029
Comodo 20131029
DrWeb 20131029
Emsisoft 20131029
ESET-NOD32 20131029
F-Prot 20131029
Fortinet 20131029
GData 20131029
Ikarus 20131029
Jiangmin 20131029
K7AntiVirus 20131028
K7GW 20131028
Kaspersky 20131029
Kingsoft 20130829
Malwarebytes Backdoor.Bot 20131029
McAfee 20131029
McAfee-GW-Edition Heuristic.LooksLike.Win32.Suspicious.J!81 20131029
Microsoft 20131029
MicroWorld-eScan 20131028
NANO-Antivirus 20131029
Norman 20131029
nProtect 20131029
Panda 20131029
Rising 20131029
Sophos 20131029
SUPERAntiSpyware 20131029
Symantec 20131029
TheHacker 20131029
TotalDefense 20131028
TrendMicro 20131029
TrendMicro-HouseCall 20131029
VBA32 20131029
VIPRE 20131029
ViRobot 20131029
↧
CSIS Blog: Forfalskede Wells Fargo spammails
↧