Спам-Кампания «Люблю Тебя» Переориентирована На Японию

Учёба свежая волна спама в России , мы заметили еще одну атаку.

С середины января 2019 года известно Акция «Люблю тебя» модифицирован и перенаправлен в Японию, где он используется для распространения шифратора GandCrab 5.1.



По данным телеметрии, последняя версия «Люблю тебя» стартовала 28 января 2019 года и имела примерно вдвое большую активность, чем оригинал (см.

график ниже).

Как и в середине января, набор вредоносных программ с некоторыми обновлениями распространяется через спам.

Так, мы видели попытки загрузки криптомайнера, ПО для изменения настроек системы, вредоносного загрузчика, червя Phorpiex, а также шифратора GandCrab версии 5.1.



Рисунок 1. Обнаружение вредоносных вложений JavaScript, распространяемых в рамках кампании «Люблю тебя» и ее последней волны е По состоянию на 29 января 2019 г.

подавляющее большинство обнаружений происходит в Японии (95%): каждый час обнаруживаются десятки тысяч вредоносных писем.

В тот же день JS/Danger.ScriptAttachment (классификация ESET вредоносного кода JavaScript, распространяемого через вложения электронной почты) стала четвертой наиболее обнаруживаемой угрозой в мире и угрозой № 1 в Японии (см.

ниже).

Рисунок 2. JS/Danger.ScriptAttachment был угрозой №1 в Японии по состоянию на 29 января.

Сценарий атаки

Многие смайлы в теме и теле письма остаются прежними.

Темы писем, которые мы увидели в ходе анализа: — Юи Арагаки ;) - Кяри Памю Памю ;) — Кёко Фукада ;) — Юрико Ёситака ;) — Шина Ринго ;) — Мися ;) (звезды японского шоу-бизнеса) Исследованные вредоносные вложения представляют собой ZIP-архивы, замаскированные под изображения с именами в формате PIC0-[9-значный-номер]2019-jpg.zip. На рисунке ниже показаны примеры таких букв.

Рисунок 3. Примеры спам-рассылок из «японской» кампании ZIP-архив содержит файл JavaScript с именем в том же формате, но заканчивающимся только на .

js. После извлечения и запуска JavaScript загружает полезную нагрузку первого этапа с командного сервера злоумышленников — EXE-файл, распознаваемый продуктами ESET как Win32/TrojanDownloader.Agent.EJN. Путь URL-адресов, на которых размещаются эти полезные данные, заканчивается на bl*wj*b.exe (имя файла изменено) и krabler.exe; эта полезная нагрузка загружается в C:\Users\[имя пользователя]\AppData\Local\Temp[random].

exe. Полезная нагрузка первого этапа загружает одну из следующих окончательных полезных нагрузок с того же C&C-сервера: — Кодер GandCrab версии 5.1. — криптомайнер — червь Форпиекс - загрузчик, работающий в соответствии с языковыми настройками (загружает полезную нагрузку только в том случае, если языковые настройки зараженного компьютера соответствуют Китаю, Вьетнаму, Южной Корее, Японии, Турции, Германии, Австралии или Великобритании) — Программное обеспечение для изменения настроек системы GandCrab 5.1 шифрует файлы, добавляя к их именам случайное пятизначное расширение.

Требование выкупа, содержащее это расширение в именах и содержимом файлов, генерируется в каждой папке, затронутой программой-вымогателем.

Рисунок 4. Требование выкупа GandCrab v5.1 Полезная нагрузка этой кампании загружается с IP-адреса 92.63.197[.

]153, геолокация которого соответствует Украине.

Адрес использовался в кампании «Люблю тебя» с середины января.

Индикаторы компрометации

]153

Теги: #Антивирусная защита #Спам и антиспам #спам #вредоносное ПО #GandCrab

• Роль Погодных Приложений В Реальной Жизни

  19 Oct, 24

• Как Получить Последние Технологические Новости Сегодня

  19 Oct, 24

• Быстрый И Простой Способ Заработать Деньги В Интернете

  19 Oct, 24

• Социальная Сеть Ello Привлекла $5,5 Млн И Стала Общественной Организацией

  19 Oct, 24

• Советский Hi-Fi И Его Создатели: Лазерные Видеодиски В Ссср

  19 Oct, 24

• Книга: Проектирование Api

  19 Oct, 24

• Как Пройти Тест Mtcna (Микротик) 100%

  19 Oct, 24

• О Вашем Яндексе Или Как Клиенты Представляют Себе Создание Сайта.

  19 Oct, 24

• Бета-Тест: Devdiction Для Разработчиков — Платформа Для Обучения Английскому Языку

  19 Oct, 24

• Критические Ситуации, Что Делать.

  19 Oct, 24