Вітаємо вас приєднатися до Raytheon

У Websense зафіксована адресна спам-розсилка, націлена на засів троянської програми віддаленого доступу, замаскованої під продукт «Лабораторії Касперського». Шкідливий спам призначався службовцям ІБ-компанії, він з’явився через три дні після анонса про викуп Websense лідером американської оборонної промисловості Raytheon і про створення нового спільного підприємства.

Зловмисники від імені Raytheon лаконічно вітають нових співробітників і пропонують скористатися паролем до вкладеного файлу. Тема листа повторює не зовсім коректну фразу, наведену в тілі листа: «Welcome to join Raytheon» ( «Вітаємо вас приєднатися до Raytheon»). При цьому в листі відсутня личить такому випадку інформація про саму операцію, компанії-покупця, соцпакет і т.п., тільки ця коротка, підозріло малограмотна фраза. Тут немає також ніяких конкретних імен (відправник не представився, що було б цілком очікувано), слідів форматування – взагалі ніяких свідчень зв’язку розсилки з шановним брендом.

При аналізі службові заголовки спам-листи явили дійсне джерело відправки: в рядках «Message-ID:” і “Receved:» було вказано японський домен. У рядку «From:» відправником значився @ raytheon.com, але перевірка на наявність відповідної SPF-записи теж виявила підробку.

Вкладений в спам-лист запаролений zip-архів містив саморозпаковується RAR, в якому був прихований зловредів в тандемі з інсталятором «Лабораторії Касперського». За свідченням Websense, зловмисники в даному випадку використовують метод попереднього завантаження DLL, що дозволяє обходити антивіруси. Такий же прийом з успіхом застосували зломщики Anthem на початку поточного року.

У rar-архіві були виявлені три файли: нешкідливий setup.exe, підписаний сертифікатом «Лабораторії Касперського» (вже відкликаним), шкідлива динамічна бібліотека (msi.dll) і сильно обфусцірованний інсталятор Windows (.msi). Зазвичай setup.exe використовує легітимну msi.dll з набору Windows для установки KAV, пояснюють експерти, але в даному випадку її шкідливий двійник з rar-архіву прописується в тій же директорії, яку завантажує інсталятор «Лабораторії Касперського». А порядок в Windows такий, що динамічні бібліотеки в першу чергу завантажуються з поточної робочої директорії; якщо шуканого файлу там не виявилося, система продовжує пошук в інших каталогах.

При активації шкідлива msi.dll запускає на виконання setup.msi. У підсумку на машину жертви встановлюється RAT-троянець PlugX, який підключається до C&C-серверу, запрошуючи японський домен, і підтримує з ним зв’язок на порту 80 по шифрованому каналу.

На щастя, відзначає Websense на закінчення, її співробітники захищені від таких загроз.

Ссылка на основную публикацию