Nova kampanja distribucije Locky virusa putem e-maila
U periodu od 1.11.2016. do 3.11.2016. godine, monitoringom internet saobraćaja unutar opsega IP adresa pružaoca usluga internet pristupa u Republici Srpskoj, pripadnici Odjeljenja za informacionu bezbjednost, odnosno CERT-a Republike Srpske, primjetili su povećan priliv e-mail poruka sa naslovom „ !! Urgent payment request” od nasumičnih pošiljaoca.
E-mail poruka sastoji od naslova, priloga u vidu arhivirane datoteke i potpisa koji navodi na pomisao da se radi o uobičajenoj poslovnoj poruci.
Informišemo javnost da se radi o organizovanoj kampanji distribucije malvera u dvije varijante – U jednoj je sadržaj priloga zloćudni JavaScript kod koji po izvršenju od strane korisnika kontaktira lokaciju putem koje se preuzima izvršnu datoteku koja prikuplja financijske informacije (npr. kredencijali za PayPal naloge, elektronsko bankarstvo i sl.) i dostavlja ih napadaču.
U drugoj varijanti, izvršenjem JavaScript koda na korisnikov računar instalira modifikovana verzija Locky ransomvera koji potom enkriptuje datoteke na računaru i onemogućava im pristup zahtijevajući uplatu napadaču u određenom iznosu u Bitcoin valuti.
U cilju prevencije, savjetujemo korisnike da po primitku ovakve e-mail poruke istu odmah obrišu i da ne otvaraju datoteku u prilogu. Pravne osobe koje raspolažu s vlastitom infrastrukturom savjetujemo da implementiraju i ojačaju zaštitne i kontrolne mehanizme na e-mail serverima kao što su antivirusni filteri i detekcija malicioznog saobraćaja.
Prema analiziranim datotekama pokretanje malicioznog sadržaja rezultuje preuzimanjem enkriptovane datoteke sa http://centinel.ca/jhb6576?rigWApln=iwDykXRT koja se zatim konvertuje putem .js skripte u lpFtmm1.dll koristeći url 194.28.87.26/message.php za upravljanje (command and control). Maliciozni kod se preuzima sa većeg broja servera, u nekim slučajevima i do 150. Serveri će često nuditi i različite verzije ransomware-a pa je detekcija dodatno otežana.
Kao mjeru predostrožnosti savjetujemo da uključite opciju prikazivanja ekstenzija poznatih tipova datoteka kako bi lakše primjetili da se radi o izvršnoj datoteci, a ne PDF, DOC, JPEG ili slično. Pokretanje datoteka preuzetih iz nepoznatih mailova koje imaju ekstenzije JS, EXE, COM, PIF, SCR, HTA, vbs ,wsf, jse treba izbjegavati po svaku cjenu.
