Аналитики компании F6 изучили фишинговую кампанию, направленную на российские компании. Под ударом оказались сферы: промышленность, финансы, туризм, биотехнологии, исследования и торговля.
За использование GIF изображений героев комиксов и нагрузки в виде FormBook злоумышленникам присвоили имя – ComicForm. Однако изображения не использовались для атаки. Они являлись частью кода вредоноса.
За использование GIF изображений героев комиксов и нагрузки в виде FormBook злоумышленникам присвоили имя – ComicForm. Однако изображения не использовались для атаки. Они являлись частью кода вредоноса.
Отличительная черта ComicForm – использование replay-to электронной почты rivet_kz@... в заголовке.
Письма содержали темы:
- Акт сверки для подписки
- RE: Акт сверки
- Контракт и счет.pdf
- Ожидание подписанного документа
- Спецификация и контракт.pdf и т.д.
Во вложении содержался архив с исполняемым файлом «Акт_сверки pdf 010.exe». Он представляет собой обфусцированный загрузчик, написанный на .NET, для распаковки и динамического исполнения второй стадии “MechMatrix Pro.dll”.
Модуль обращался к файлу "Акт_сверки pdf 010.exe", извлекал зашифрованные ресурсы, дешифровал их и запускал в памяти файл третьей фазы Montero.dll. Этот файл был признан вредоносным элементом типа дроппер и выполнял следующие операции:
- производил копию исполняемого файла в папку %AppData%\sLanZcuuAqw.exe;
- обеспечивал постоянное присутствие в операционной системе посредством добавления задания в планировщик задач;
- определял уровень прав запуска. При наличии администраторских привилегий, добавлял себя в исключения Windows Defender;
- извлекал полезную нагрузку из собственных ресурсов;
- запускал %WINDIR%\SysWOW64\whoami.exe и внедрял в него стилер FormBook.
Атаки ComicForm направлены на Россию, Беларусь и Казахстан. Возможны угрозы для компаний зарубежья, т.к. отдельные фишинговые письма содержат англоязычный текст. Например, в июне зафиксированы попытки проникновения в неназванную казахстанскую телекоммуникационную фирму.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!
+7 (343) 222-13-32 — Екатеринбург
+7 (978) 214 29 87 — Севастополь