CSIS har fået kendskab til en spear phishing kampagne rettet mod danske kiropraktorer. Angrebet er blevet udført ved at sende en særligt udformet e-mail, på fejlfrit dansk, til nøje udvalgte mål. Se kopi af e-mailen herunder:
Bemærk, at e-mailen er designet med en høj grad af social engineering som skal lokke netop denne målgruppe til at klikke på det medfølgende link. Samtidig bærer indeholdet tydeligt præg af, at dette kan være skrevet af en dansker.
Vi har valgt at kategorisere dette som en "høj" risiko, også selvom der er tale om et målrettet angreb. Det skyldes dels den grad af social engineering som er lagt i angrebet og dels den destruktive kode som forsøges plantet på ofrets maskine. Denne type angreb vil sandsynligvis være vellykket mod mange andre brancher i Danmark og kan derfor være en trussel for de fleste virksomheder og offentlige myndigheder.
"Pacman ransomware"
Med den uønskede e-mail følger et link til dropbox som tilbyder en ny ransomware variant som forfatteren til koden har døbt "ransomware-Pacman". Det fremgår af kompileringsresten i den binære kode: "L:x00[ransomware]PacmanPacmanobjx86ReleasePacman.pdb".
Koden er "binded" og består af flere lag som skal gøre det mere besværligt at analysere og detektere det skadelige indhold.
Hovedkomponenten kan nemt udtrækkes af "klatkagen" og hedder ikke overraskende "pacman.exe". Også af filegenskaberne afspejles det, at "Pacman" er navnet som forfatteren ønsker vi skal kende:
0000350C Pacman.exe
0000352A LegalCopyright
00003548 Copyright
0000355E 2014
00003572 LegalTrademarks
00003594 Pacman Tour
000035B2 OriginalFilename
000035D4 Pacman.exe
000035F2 ProductName
0000360C Pacman Tour
Koden er udviklet i .NET og kræver således en fortolker for at kunne køre. Det har imidlertid langt de fleste Microsoft Windows installationer i dag.
Ved kørsel vil den kopiere sig til systemet via "NtCreateFile":
C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe.config
C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe
Herfra udtrækkes "pacman.exe" og droppes til windows mappen samtidig med at kryptering af filer på den lokale harddisk igangsættes. Koden gennemsøger i den sammenhæng disken for data filer og krypterer disse, mens den tilføjer en ny filendelse: ".ENCRYPTED". I direkte forlængelse af denne process ændres skrivebordet på den inficerede maskine og erstattes med instruktioner omkring hvordan man opnår adgang til sine data igen. Det er en typisk ransomware strategi. Et skærmdump af trusle, som den fremkommer hos ofret, kan ses herunder:
Betaling af løsesummen skal ske ved brug af Bitcoins og indenfor 24 timer.
Udover at indeholde ransomware funktionalitet, bærer koden også en keylogger som systematisk optager tastetryk og sender disse til bagmanden.
Når et system kompromitteres, igennem dette angreb, vil det ringe hjem til den centrale C&C server via følgende gateways (saniteret af CSIS)
http://myplacehome[.]comuv.com/crypted.php
http://myplacehome[.]comuv.com/locked.php
Vi har blokeret dette domæne i CSIS Secure DNS og Heimdal PRO/Corporate for at forhindre datalækage.
Som led i dens ondsindede funktioner gennemfører koden også løbende en "killprocess" af følgende legitime system værktøjer:
taskmgr
cmd
regedit
msconfig
sdclt
rstrui
powershell
Det kan indlysende nok besværliggøre fjernelse af "pacman" fra et inficeret system.
Hovedkomponenten opnår følgende antivirus detektion (20 / 57 ):
https://www.virustotal.com/en/file/68931ef9cf810d5a69d8ebf33155db7845fffcc685b1ae9f0670803bb97228cc/analysis/
CSIS ønsker at takke Jens Roed Andersen for at inddrage os i dette arbejde samt Max Sand fra Midtvest-it for at sikre os en kopi af koden.
↧
CSIS Nyheder: Spear phishing angreb mod danske kiropraktorer
↧