Аналитики компании F6 изучили фишинговую кампанию, направленную на российские компании. Под ударом оказались сферы: промышленность, финансы, туризм, биотехнологии, исследования и торговля.
За использование GIF изображений героев комиксов и нагрузки в виде FormBook злоумышленникам присвоили имя – ComicForm. Однако изображения не использовались для атаки. Они являлись частью кода вредоноса.
Отличительная черта ComicForm – использование replay-to электронной почты rivet_kz@... в заголовке.
Письма содержали темы:
Акт сверки для подписки
RE: Акт сверки
Контракт и счет.pdf
Ожидание подписанного документа
Спецификация и контракт.pdf и т.д.
Во вложении содержался архив с исполняемым файлом «Акт_сверки pdf 010.exe». Он представляет собой обфусцированный загрузчик, написанный на .NET, для распаковки и динамического исполнения второй стадии “MechMatrix Pro.dll”.
Модуль обращался к файлу "Акт_сверки pdf 010.exe", извлекал зашифрованные ресурсы, дешифровал их и запускал в памяти файл третьей фазы Montero.dll. Этот файл был признан вредоносным элементом типа дроппер и выполнял следующие операции:
производил копию исполняемого файла в папку %AppData%\sLanZcuuAqw.exe;
обеспечивал постоянное присутствие в операционной системе посредством добавления задания в планировщик задач;
определял уровень прав запуска. При наличии администраторских привилегий, добавлял себя в исключения Windows Defender;
извлекал полезную нагрузку из собственных ресурсов;
запускал %WINDIR%\SysWOW64\whoami.exe и внедрял в него стилер FormBook.
Атаки ComicForm направлены на Россию, Беларусь и Казахстан. Возможны угрозы для компаний зарубежья, т.к. отдельные фишинговые письма содержат англоязычный текст. Например, в июне зафиксированы попытки проникновения в неназванную казахстанскую телекоммуникационную фирму.
Мы внедряем системы информационной безопасности в Свердловской области и Севастополе!
Благодаря многолетнему опыту и команде экспертов, знаем, что важно для IT-инфраструктуры и как защититься от киберугроз во всех сферах деятельности.
Оставьте свой контакт на главной странице и мы поможем с решением проблемы любой сложности!