CSIS har her til morgen fulgt en spamkampagne, hvor lokkemaden er en elektronisk Fax. Den uønskede e-mail ankommer med en vedhæftet zip-fil der ved udpakning kan minde om et Adobe Acrobat Reader dokument. I virkeligheden er der tale om en regulær Windows PE32, som ved kørsel vil droppe sig til maskinen og dernæst binde systemet ind i et BOTnet. Payloaden er en informationstyv i ZeuS P2P klassen.
Et skærmdump af den uønskede e-mail findes herunder:
Den vedhæftede fil, som er et zip arkiv indeholder filen "fax.pdf.exe" (MD5: 28cf295e5ba64a341379887f16c85895).
Downloader som henter ZeuS P2P
Der er tale om en klassisk downloader. Downloaderen kopierer sig til maskinen og hooker dernæst diverse funktioner og legitime processer hvorigennem den opnår adgang til den C&C server som hoster ZeuS P2P komponenten. I dette tilfælde downloades ZeuS P2P fra følgende URL (mellemrum indlagt af CSIS)
bharat truck.com/images/al0212.exe.
Den pågældende ZeuS P2P variant, som er en del af et "Crime as a Service" setup angives i den binære kode til at være knyttet til botnet-id'et: 1019492548. På den måde transportes indsamlede data videre ind igennem mange P2peers og samles i det centrale interface/C&C baseret på BOTid'et.
Domænet er blokeret i CSIS Secure DNS.
Koden kopierer sig til flere steder på systemet, men CSIS CIRK tool, som er central del af vores threat detektion service, er designet til at detekte og finde denne informationstyv uanset hvordan den pakker sig ind.
Antivirus detektion - af downloaderen - giver følgende resultat på Virustotal (21 / 46):
https://www.virustotal.com/da/file/50c02edc13549b542fbf9ed8f1f3b18abd4c00213807240fa7c116d484e9a882/analysis/
ZeuS P2P:
https://www.virustotal.com/da/file/3eb5787b9310a0bd8c7164d273b3e493dd205e98a4ecc4436d8b218d5d6abcf3/analysis/
↧
CSIS Blog: Dagen begynder med en ondsindet "fax" spam
↧