Posted in Novosti, Preporuke

Analiza malvera iz poruke „SWIFT doznaka EUR 38650,00“

 Published Date: December 20, 2019

Analiza malvera iz poruke „SWIFT doznaka EUR 38650,00“

CERT je 19.12 u jutarnjim časovima ustupljen uzorak malvera koji je ciljao bankarski sektor. Malver se širio putem email attachmenta poruke sa naslovom „SWIFT doznaka EUR 38650,00 20191213160588“.  Poruka je poslana sa veb servera koji je lociran u Kazahstanu, na IP adresi 185.98.7.196. Poruka je poslata sa domena flyjet.kz od strane korisnika potpisanog sa  International payments department  (salikhova@flyjet.kz) Sama email poruka je bila napisana na srpskom i na engleskom jeziku i glasi:

Poštovani,

U prilogu Vam dostavljamo kopiju SWIFT poruke, kao dokaz o izvršenom

plaćanju. 

Srdačan pozdrav,

ProCredit banka

Dear Sir/Madam,

Please find enclosed copy of SWIFT message as confirmation of executed

payment.

Regards,

ProCredit Bank a.d.

Ovaj dokument sadrzi strogo poverljive podatke o klijentu ProCredit

banke. Namenjen je iskljucivo za upotrebu klijenta na koga je naslovljen

i ne sme se koristiti u druge svrhe. Ako niste imenovani primalac ili na

drugi nacin ovlasceni da koristite ovaj dokument, ovim Vas putem

obavestavamo da je svako otkrivanje, kopiranje, distribucija ili

preduzimanje bilo koje radnje u oslanjanju na sadrzaj ovog dokumenta

strogo zabranjeno i moze predstavljati osnovu za pokretanje odgovarajuih

sudskih i/ili drugih postupaka protiv lica koje se ne pridrzava napomena

iz ove poruke. Ako ste pristupali ovom materijalu greskom, molimo Vas da

o tome odmah obavestite najblizu filijalu ProCredit Banke i predate im

dokument.

Prirodni resursi su ograniceni – stampajmo samo neophodno! / Natural

resources are limited – let’s print only when necessary!

This message (including any attachments) is confidential and may be

privileged. If you have received it by mistake please notify the sender

by return e-mail and delete this message from your system. Any

unauthorized use or dissemination of this message in whole or in part is

strictly prohibited. Please note that e-mails are susceptible to change.

ProCredit Bank a.d. shall not be liable for the improper or incomplete

transmission of the information contained in this communication nor for

any delay in its receipt or damage to your system. ProCredit Bank a.d.

does not guarantee that the integrity of this communication has been

maintained nor that this communication is free of viruses, interceptions

or interference.

Kao attachment poruke dostavljena je datoteka  po imenom SWIFT-EUR38650.pdf____________________________________________017412132019.cab, unutar koje je zapakovana izvršna datoteka.  cab (Cabinet file) je tip arhive koja se koristi na Windows operativnim sistemima, a tipično se koristi za čuvanje drajvera i sistemskih datoteka namijenjenih samom operativnom sistemu. Naziv datoteke je dopunjen velikim brojem simbola „_“ kako bi se korisnik naveo na to da pomisli da je u pitanju pdf datoteka, a ne izvršna datoteka.

Dinamička analiza izvršne datoteke pokazala je u pitanju malver čija infekcija se vrši u više faza.

Malver prve faze skuplja podatke o inficiranom računaru skuplja podatke o računaru. Tokom skupljanja podataka malver koristi WMI API (Windows Management Instrumentation). Malver prve faze koristi tehnike koje za cilj imaju da se oteža otkrivanje. Ove tehnike uključuju provjeru prisustva debugger programa i provjeru veličine memorije na računaru. Na osnovu ovih informacija malver može zaključiti da li je pogođeni računar virtuelna mašina ili stvarna fizička mašina

Malver se kopira na u privremeni direktorijum trenutno korisnika (C:\Users\KORISNIK\AppData\Local\Temp).

Analizom memorije otkriveno je da je ova datoteka koristi višestruke exe i dll datoteke. Jedna od otkrivenih exe datoteka je i malver pod imenom Agent Tesla. Tesla Agent je malver iz spyware porodice, a koristi se za krađu informacija iz veb čitača. Ovaj malver je poznat i po tome da se prodaje kao SaaS (Software-as-a-Service), što omogućava manje tehnički sposobnim napadačima da „iznajme“ malver i popratnu infrastrukturu za plasiranje napada.

Tesla Agent komunicira sa C2 (Command and Control) serverom koji se nalazi na IP adresi: 151.139.128.14 putem portova TCP 80 i UDP 137.  Nakon pokretanja ovaj malver krade podatke sa veb čitača koji uključuju istoriju posjećenih veb stranica, sačuvane veb stranice, cookie datoteke i lozinke koje su sačuvane u veb čitaču. Pored toga ovaj malver vrši skeniranje lokalne mreže u potrazi za otvorenim portovima UDP 137.

Iz dosadašnje analize nije jasna svrha drugog malvera koji je pronađen u memoriji, ali je pretpostavka da se ovaj malver koristi za injektovanje Agent Tesla u memoriju legitimnih procesa.

Interesantna je i činjenica da su memoriji inicijalnog malvera pronađene po dvije verzije oba malvera. Komparativnom analizom utvrđeno je da se razlikuju samo u par bajta podataka na početku i kraju datoteke. Ovaj sistem se koristi kako bi se otežalo otkrivanje, jer ovako izmijenjene datoteke iako imaju isto ponašanje, imaju različite heš sume. Ova činjenica onemogućava otkrivanje korišćenjem antivirusnih programa koji su zasnovani na heš potpisima datoteka.

Preporučujemo vam da blokirate adresu C2 servera i da budete oprezni prilikom otvaranja email pošte od nepoznatih pošiljalaca.

Indikatori kompromisa

Spam server:

  • webmail.flyjet.kz
  • 185.98.7.196

C2 server:

151.139.128.14

Naziv datoteke sa malverom:

SWIFT-EUR38650.pdf____________________________________________017412132019.cab

Malver prve faze:

  • SHA-256 19c5bc06241adb44adb9e69fe9772b3ca7aac0b8375165ff115f58c6f4ecc3de VT.
  • SHA-256 ed6fa693b6faf71b2dffd14636e989c45c1ddccf76fb3ba80043f455d0259df2 VT.

Malver u memoriji inicijalnog procesa:

  • SHA-256 2a43cfc49498b8d9c93ac10d0695832f6fe09a80768b99b363518d5e2654f0e1 VT.
  • SHA-256 333ce4d21919495633cf966c464cb107541792ddaf7ad1b58e9ef5b62fe171ca VT.
  • SHA-256 71c70a56b4d6f329cd9ef98fefe0d9db1724ef70dfa718ee00578f1541787bcc VT.
  • SHA-256 491a83efb8e843ddb092cf0f0b3d26bc4f822ea7349cf874487e9e0490040473 VT.