Skoči na vsebino

SI-CERT 2018-06 / Zlonamerno sporočilo v imenu Dars

Na slovenske elektronske predale je v zadnjih dneh zaokrožilo sporočilo, ki izgleda, kot da vam Dars v priponki pošilja račun. Temu seveda ni tako, ampak gre v tem primeru za zlorabo imena podjetja, da bi s tem sporočilu dalo legitimnost in prejemnika prepričalo v odpiranje priponke. Naslov sporočila je lahko različen, vsebina pa v angleškem jeziku razlaga, da se račun nahaja v priponki.

Primer elektronskega sporočila
Primer elektronskega sporočila

Okužba

Priponka v sporočilu je MS Word datoteka (.doc), ki vsebuje makro.

Izsek kode, ki prikazuje, da priponka vsebuje makro
Priponka vsebuje makro

Če makre omogočimo, se zežene Powershell proces, ki izvede povezavo na eno izmed domen navedenih v nizu.

Iz domene se izvrši prenos in nato samodejni zagon izvršljive (.exe) datoteke, ki sistem okuži z bančnim trojancem. Bančni trojanec spremlja delo na sistemu, krade podatke, kot npr. certifikate, pristopna gesla, ipd, ter jih pošilja na oddaljen naslov.

Ime prenesene datoteke je naključno generirano iz številk (primer 11985.exe), ki se po prenosu, v danem primeru, preimenuje v Kji.exe in shrani na:

“C:\Users\%user%\AppData\Local\Temp\Kji.exe”

Izsek kode, ki prikazuje, kako se preimenuje in shrani prenesena datoteka
Ime datoteke se po prenosu preimenuje v Kji.exe

Po zagonu Kji.exe datoteke, se zažene nov proces, ki v mapi “C:\WINDOWS\SysWOW64” generira izvršljivo datoteko, v danem primeru z imenom “chunkcolorer.exe”. Ko se proces zaključi, se datoteka Kji.exe pobriše iz mape Temp.

Datoteka "chunkcolorer.exe" se zapiše v zagonsko mapo, s čimer zagotovi, da se zažene ob vsakem zagonu računalnika.
Datoteka “chunkcolorer.exe” se zapiše v zagonsko mapo, s čimer zagotovi, da se zažene ob vsakem zagonu računalnika.

Ukrepanje po okužbi

V primeru okužbe je potrebno sistem nemudoma izklopiti iz omrežja, ter ponovno namestiti operacijski sistem. Potrebna je tudi menjava vseh gesel kot tudi preklic certifikatov katerih privatni ključi so bili v času okužbe dosegljivi.

Preberite tudi

SI-CERT 2021-05 / Kritične ranljivosti Microsoft Exchange (ProxyShell)

Prva objava: 19. 8. 2021 Povzetek Veriga ranljivosti v Microsoft Exchange omogoča oddaljeno podtikanje in zagon poljubne kode (RCE, Remote Code Execution) z administratorskimi pravicami. Gre za drugačno verigo od …
Več

SI-CERT 2021-04 / Kritična ranljivost Microsoft Windows Print Spooler servisa

Ranljivost omogoča kateremukoli avtenticiranemu uporabniku oddaljeno izvajanje kode s privilegiji SYSTEM uporabnika na sistemih Microsoft Windows, ki imajo omogočen Print spooler servis. PoC koda, ki omogoča izkoriščanje ranljivost, je že javno objavljena.
Več

SI-CERT 2021-03 / Širjenje okužb s trojanskim konjem QBot

Povzetek QBot (tudi Qakbot) je trojanski konj, prvenstveno namenjen kraji podatkov iz okuženega sistema, ki je v različnih oblikah prisoten že več kot 10 let. V zadnjih različicah je pridobil …
Več