Quantcast
Channel: CSIS Security Group
Viewing all articles
Browse latest Browse all 247

CSIS Nyheder: Spear phishing angreb mod danske kiropraktorer

$
0
0

CSIS har fået kendskab til en spear phishing kampagne rettet mod danske kiropraktorer. Angrebet er blevet udført ved at sende en særligt udformet e-mail, på fejlfrit dansk, til nøje udvalgte mål. Se kopi af e-mailen herunder:


Bemærk, at e-mailen er designet med en høj grad af social engineering som skal lokke netop denne målgruppe til at klikke på det medfølgende link. Samtidig bærer indeholdet tydeligt præg af, at dette kan være skrevet af en dansker.

Vi har valgt at kategorisere dette som en "høj" risiko, også selvom der er tale om et målrettet angreb. Det skyldes dels den grad af social engineering som er lagt i angrebet og dels den destruktive kode som forsøges plantet på ofrets maskine. Denne type angreb vil sandsynligvis være vellykket mod mange andre brancher i Danmark og kan derfor være en trussel for de fleste virksomheder og offentlige myndigheder.

"Pacman ransomware"
Med den uønskede e-mail følger et link til dropbox som tilbyder en ny ransomware variant som forfatteren til koden har døbt "ransomware-Pacman". Det fremgår af kompileringsresten i den binære kode: "L:x00[ransomware]PacmanPacmanobjx86ReleasePacman.pdb".

Koden er "binded" og består af flere lag som skal gøre det mere besværligt at analysere og detektere det skadelige indhold.

Hovedkomponenten kan nemt udtrækkes af "klatkagen" og hedder ikke overraskende "pacman.exe". Også af filegenskaberne afspejles det, at "Pacman" er navnet som forfatteren ønsker vi skal kende:

0000350C  Pacman.exe
0000352A  LegalCopyright
00003548  Copyright
0000355E    2014
00003572  LegalTrademarks
00003594  Pacman Tour
000035B2  OriginalFilename
000035D4  Pacman.exe
000035F2  ProductName
0000360C  Pacman Tour

Koden er udviklet i .NET og kræver således en fortolker for at kunne køre. Det har imidlertid langt de fleste Microsoft Windows installationer i dag.

Ved kørsel vil den kopiere sig til systemet via "NtCreateFile":

C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe.config
C:DOCUME~1[%brugerkonto%]LOCALS~1Tempimg_5672.exe

Herfra udtrækkes "pacman.exe" og droppes til windows mappen samtidig med at kryptering af filer på den lokale harddisk igangsættes. Koden gennemsøger i den sammenhæng disken for data filer og krypterer disse, mens den tilføjer en ny filendelse: ".ENCRYPTED". I direkte forlængelse af denne process ændres skrivebordet på den inficerede maskine og erstattes med instruktioner omkring hvordan man opnår adgang til sine data igen. Det er en typisk ransomware strategi. Et skærmdump af trusle, som den fremkommer hos ofret, kan ses herunder:


Betaling af løsesummen skal ske ved brug af Bitcoins og indenfor 24 timer.

Udover at indeholde ransomware funktionalitet, bærer koden også en keylogger som systematisk optager tastetryk og sender disse til bagmanden.

Når et system kompromitteres, igennem dette angreb, vil det ringe hjem til den centrale C&C server via følgende gateways (saniteret af CSIS)

http://myplacehome[.]comuv.com/crypted.php
http://myplacehome[.]comuv.com/locked.php

Vi har blokeret dette domæne i CSIS Secure DNS og Heimdal PRO/Corporate for at forhindre datalækage.

Som led i dens ondsindede funktioner gennemfører koden også løbende en "killprocess" af følgende legitime system værktøjer:

taskmgr
cmd
regedit
msconfig
sdclt
rstrui
powershell

Det kan indlysende nok besværliggøre fjernelse af "pacman" fra et inficeret system.

Hovedkomponenten opnår følgende antivirus detektion (20 / 57 ):
https://www.virustotal.com/en/file/68931ef9cf810d5a69d8ebf33155db7845fffcc685b1ae9f0670803bb97228cc/analysis/

CSIS ønsker at takke Jens Roed Andersen for at inddrage os i dette arbejde samt Max Sand fra Midtvest-it for at sikre os en kopi af koden.


Viewing all articles
Browse latest Browse all 247

Trending Articles


Grand galla med gull og glitter


Psykiater Tonny Westergaard


Jav Uncensored - Tokyo-Hot n1002 Miyu Kitagawa


Moriya Suwako (Touhou)


BRODERET KLOKKESTRENG MED ORDSPROG 14 X 135 CM.


Naruto Shippuden Episode 471 Subtitle Indonesia


Fin gl. teske i sølv - 2 tårnet - stemplet


Kaffefilterholder fra Knabstrup


Anders Agger i Herstedvester


Onkel Joakims Lykkemønt *3 stk* *** Perfekt Stand ***


Sælges: Coral Beta/Flat (Højttaler-enheder)


Starwars landspeeder 7110


NMB48 – Durian Shounen (Dance Version) [2015.07.15]


Le bonheur | question de l'autre


Scope.dk som agent?


Akemi Homura & Kaname Madoka (Puella Magi Madoka Magica)


Tidemands taffel-marmelade julen1934+julen 1937+julen 1938.


Re: KZUBR MIG/MMA 300 zamena tranzistora


Analyse 0 mundtlig eksamen


DIY - Hæklet bil og flyvemaskine