CarderPlanet
Professional
- Messages
- 2,549
- Reaction score
- 724
- Points
- 113
В настоящее время в Италии распространяется новая кампания по вредоносному ПО, которая, похоже, предлагает вознаграждение в размере 5 тысяч евро в обмен на информацию о человеке, упомянутом в электронном письме, на самом деле это кампания по распространению вредоносного спама, направленная на установку программного обеспечения Atera RMM (Remote Управление мониторингом).
Кампания в настоящее время адресована государственным учреждениям и рассылается в основном на адреса УИК этих организаций, предлагает вознаграждение в размере пяти тысяч евро в обмен на конкретную информацию для идентификации человека, имя, дата рождения, место жительства и место которого указаны для работы. Также предоставляется удостоверение личности нарушителя, доступное по ссылке в тексте электронного письма.
Выбрав эту ссылку, вы перейдете к загрузке файла под названием CARTA_IDENTITA.rtf, этот файл на самом деле не содержит никаких документов, удостоверяющих личность, но скрипт Visual Basic Script, который должен без вывода сообщений установить программное обеспечение удаленного управления и показать удостоверение личности субъекта, упомянутого в электронном письме.
Щелчок по ID_CARD.vbe должен запустить процедуру, назначенную преступником, для установки программного обеспечения удаленного управления, но для этой процедуры требуется наличие каталога c: \ temp \, который по умолчанию отсутствует в системах Windows, сценарий не приступить к созданию этого временного каталога, но ожидайте, что он уже существует. Этот каталог может уже присутствовать в операционной системе жертвы, если ранее был создан другим программным обеспечением, но если он не присутствует, сценарий завершает работу, препятствуя любым усилиям преступника.
Ниже приведен снимок экрана с сообщением об ошибке, если этот временный каталог отсутствует в системе Windows, используемой жертвой.
Если вместо этого каталог присутствует, сценарий, снимок экрана которого мы показываем в деобфусцированной версии ниже, переходит к загрузке PDF документа субъекта и установке программного обеспечения удаленного управления в фоновом режиме.
Особенностью этой кампании, безусловно, является использование легитимного программного обеспечения Atera RMM (Remote Monitoring Management) для удаленного управления жертвами, обычно преступники используют VBScript для запуска и загрузки созданного или приобретенного ими вредоносного ПО, а не легитимного программного обеспечения. . В этом случае, однако, был выбран вариант написать VBScript (хотя и с ошибками), а затем полагаться на авторитетную фирму, занимающуюся разработкой программного обеспечения, которая продает программное обеспечение для удаленного управления для удаленной помощи.
Atera создает отдельный агент (установочный файл) .MSI для каждого пользователя для этой кампании под названием Rastaf.msi, который содержит адрес электронной почты регистранта в его службе. Эта деталь позволяет Atera API связать новую установку с соответствующей учетной записью, а затем показать на онлайн-панели управления, что новый компьютер доступен для удаленной помощи.
Ниже мы видим пояснительный снимок экрана клиентской части Atera, на котором можно увидеть наш USER-PC SandBox, готовый к удаленному управлению.
Анализируя установочный файл агента Atera, можно определить учетную запись, связанную со службой удаленного управления, которая выглядит так: claude.meerten@steinber.org.
Скрипт также может установить Splashtop, еще одно программное обеспечение для удаленного управления, но в проанализированной нами версии эта процедура, похоже, не используется.
Поэтому мы предлагаем пользователям игнорировать это письмо, если они его получат; мы также хотели бы поблагодарить Даниэле Марготти из Союза муниципалитетов Нижней Романьи за этот отчет.
Ниже приведены основные индикаторы компрометации:
- CARTA_IDENTITA.rtf 0c9dfa5c8cf346c75da3972b4b80fdab
- CARTA_IDENTITA.vbe df5e3823543141aee816047e93c5c21c
- Rastaf.msi f57d46fd5b1a3c907d040dd6aa6848bb
- rinaldomattei.firstcloudit [.] com
