En sværm af nye Postdanmark/PostNord spamkampagner har kostet flere virksomheder herhjemme massive driftsforstyrrelser her til morgen. Den nye kode er blevet finpudset på flere omrpder og det danske sprog er blevet markant forbedret hvilket øger risikoen for at brugere klikker på de skadelige e-mails.
I går aftes kl. 20.34 opsamlede CSIS de første spammails relateret til en ny spambølge som foregiver at komme fra Postdanmark/Postnord. I lighed med tidligere kampagner inkluderer den uønskede e-mail et link. Hvis det pågældende link, klikkes på, af en uforsigig bruger, vil denne via en mellemstation flyttes over på et domæne der leverer en ransomware i Cryptolocker2 familien. Også denne kampagne har desværre held med at ramme mange danske virksomheder, og vi har modtaget talrige henvendelser hen over formiddagen i dag.
Den uønskede e-mail ankommer med emnelinjen:
"PostNord - Forsendelse meddelelse"
Som tidligere nævnt anvendes et link, som via en mellemstation, sender ofret videre til den skadelige kode.
I første fase anvendes følgende mellemstationer (udsnit):
http://perevozki.org
http://mycolledge.org
http://spectronlab.ru
- hvor et PHP script eksempelvis "1ebiljse.php" flytter trafikken til et af følgende domæner:
postdanmark-portal24.net
postdanmark-portal24.com
Payloaden hentes i sidste fase fra: "downloader.disk.yandex.com" som "forsendelse.zip = forsendelse.exe". Det snedige er at ofret skal indtaste en "captcha" inden filen tilbydes.
Se skærmprint af den skadelige webside herunder:
Der er ikke, i lighed med tidligere kampagner, et max antal begrænsninger for hentning af den skadelige kode, og det gør muligvis analyse af selve koden nemmere, men det øger samtidig risikoen for flere infektioner.
Det pågældende spamrun er rettet mod Skandinavien og er sprogtilpasset. Der er andre domæner som er oprettet for henvendelse Norge og Sverige, hvor lokkemaden er PostNord.
Den skadelige kode er Cryptolocker2 (crypt0l0cker). I lighed med tidligere, varianter, som vi har analyseret, vil denne ved kørsel kryptere data både lokalt og på delte netværksresourcer. Den sletter endvidere den lokale shadow copy.
Cryptolocker2 indeholder flere funktioner. Dels, så binder den maskinen ind i et BOTnet, hvor data sendes til omkring infektionen. Det inkluderer - men er ikke begrænset til: "computernavn", "IP adresse", "installationstidspunkt" og "BOTid". Vi har for længst blokeret alle disse domæner, samt mellemstationer og payload domæner i CSIS Secure DNS og Heimdal PRO/corporate.
I den sidste del af infektionen åbnes et ONION link til TOR. Her leveres instruktioner om hvordan man betaler for at genvinde de kidnappede data. Se skærmprint herunder.
På udsendelsestidspunktet var der yderst lav antivirus detektion af den skadelige kode (1/55)
https://www.virustotal.com/da/file/30ef75ebbbc7c27500dcbbf1db1aaab35be6a8e72e60a7a0ca91a621e4f62e6a/analysis/1443030595/
Vi har tidligere bragt en advarsel omkring disse yderst ondsindede spamkampagner:
https://www.csis.dk/da/csis/news/4726/