Спам-кампания “Love you” перенацелена на Японию - Новости и Обзоры
интернет-защита
все антивирусы в одном приложении

Спам-кампания “Love you” перенацелена на Японию

Изучая свежую волну спама в России, мы обратили внимание на другую атаку. С середины января 2019 года известная кампания “Love you” доработана и перенацелена на Японию, где используется для распространения шифратора GandCrab 5.1.

По данным телеметрии, последняя версия “Love you” запущена 28 января 2019 года, ее активность примерно вдвое превысила первоначальную (см. график ниже). Как и в середине января, с помощью спама распространяется набор вредоносных полезных нагрузок с некоторыми обновлениями. Так, мы видели попытки загрузки криптомайнера, ПО для изменения системных настроек, вредоносного загрузчика, червя Phorpiex, а также шифратора GandCrab версии 5.1.

Рисунок 1. Детектирование вредоносных вложений JavaScript, распространяемых в кампании “Love you” и ее последней волне 

По состоянию на 29 января 2019 года подавляющее большинство обнаружений приходится на Японию (95%), каждый час детектируются десятки тысяч вредоносных писем. В тот же день JS/Danger.ScriptAttachment (по классификации ESET — вредоносный JavaScript, распространяемый через вложения электронной почты) был четвертой по числу обнаружений угрозой в мире и угрозой №1 в Японии

Рисунок 2. JS/Danger.ScriptAttachment был угрозой №1 в Японии по состоянию на 29 января 

Сценарий атаки

В последней кампании атакующие изменили тексты рассылок, перейдя от «Love You» в теме письма к заголовкам, связанным с Японией. Прежним осталось множество смайлов в теме и теле письма. 

Темы писем, которые мы видели в ходе анализа:

— Yui Aragaki ;)
— Kyary Pamyu Pamyu ;)
— Kyoko Fukada ;)
— Yuriko Yoshitaka ;)
— Sheena Ringo ;)
— Misia ;)
(японские звезды шоу-бизнеса)

Изученные вредоносные вложения представляют собой ZIP-архивы, замаскированные под изображения с именами формата PIC0-[9-digit-number]2019-jpg.zip. На рисунке ниже представлены примеры таких писем.

Рисунок 3. Примеры спам-писем из «японской» кампании

ZIP-архив содержит JavaScript-файл с именем в том же формате, но заканчивающимся только на .js. После извлечения и запуска JavaScript загружает полезную нагрузку первого этапа с C&C-сервера атакующих – ЕХЕ-файл, детектируемый продуктами ESET как Win32/TrojanDownloader.Agent.EJN. URL-адреса, на которых размещена эта полезная нагрузка, имеют путь, заканчивающийся на bl*wj*b.exe (имя файла изменено) и krabler.exe; эта полезная нагрузка загружается в C:\Users\[username]\AppData\Local\Temp[random].exe.

Полезная нагрузка первого этапа скачивает одну из следующих финальных полезных нагрузок с того же C&C-сервера: 

  • — шифратор GandCrab версии 5.1 
  • — криптомайнер
  • — червь Phorpiex 
  • — загрузчик, работающий в соответствии с языковыми настройками (скачивает полезную нагрузку только в том случае, если языковые настройки зараженного компьютера соответствуют Китаю, Вьетнаму, Южной Корее, Японии, Турции, Германии, Австралии или Великобритании)
  • — ПО для изменения системных настроек 

GandCrab 5.1 шифрует файлы, добавляя случайное расширение из пяти символов к их именам. Требования выкупа, содержащие это расширение в именах файлов и их содержимом, создаются в каждой папке, затронутой шифратором.

Рисунок 4. Требование выкупа GandCrab v5.1 

Полезная нагрузка данной кампании скачивается с IP-адреса 92.63.197[.]153, геолокация которого соответствует Украине. Адрес использовался в кампании “Love you” с середины января.

Сообщество Вконткте
обзоры антивирусов и программ безопасности
Комментарии и отзывы
Добавляя комментарий, ознакомьтесь с Правилами сообщества
Система Orphus