Напоминание: будьте осторожны, открывая счета на оплату 21 марта

Четвертого марта мы обнаружили, что наш продукт Linux Mail Security блокирует большое число необычных сообщений. Все письма содержали одно и то же вложение в формате PDF (MD5: 97b720519aefa00da58026f03d818251), однако были отправлены с разных электронных адресов.

Электронные письма были написаны по-немецки, причем большая часть из них была отправлена с немецких IP-адресов. На карте ниже показано географическое распределение этих адресов:

Указанные в заголовках сообщений имена компьютеров часто имели вид Andreas-PC или Kerstin-Laptop (имена изменены с целью защиты невинных жертв). Это говорит о том, что письма были отправлены с домашних компьютеров немецких пользователей.

Вот пример такого сообщения:

Пример сообщения

Имена вложенных PDF-файлов имеют форму «Mahnung имя получателя.pdf” (Mahnung по-немецки означает «напоминание» или «требование об уплате долга»). Эти вредоносные файлы содержат эксплойт для уязвимости CVE-2010-0188 (Adobe Acrobat libtiff Remote Code Execution Vulnerability). Они были заблокированы с помощью технологии Kaspersky ZETA Shield и детектировались как Exploit.JS.CVE-2010-0188.e. Эксплойт обнаружить непросто, поскольку он спрятан под двумя слоями JavaScript.

Первый слой Javascript

Второй слой Javascript

Расшифрованный шелл-код

Второй слой очень похож на JavaScript, который использовали обнаруженные в прошлом году эксплойты, входящие в набор BlackHole. При успешном срабатывании эксплойта загружается исполняемый файл с адреса seodirect-proxy.com/adobe-update.exe.

Загруженная вредоносная программа (MD5: 3772e3c2945e472247241ac27fbf5a16) детектируется продуктами «Лаборатории Касперского» как Trojan.Win32.Yakes.cngh. Она содержит текстовые строки на итальянском языке (lastoriasiamo, famiglia, badalamenti, impastato), которые, возможно, имеют отношение к мафии. Она также выдает следующую информацию о своей версии:

По-видимому, в данном случае BTP — это итальянские государственные облигации, Bund — немецкие государственные облигации, а Spread BTP/Bund — величина, отражающая разницу в доходности между теми и другими.

При запуске вредоносная программа выдает следующее сообщение об ошибке:

Затем она устанавливается в папку temp под случайно выбранным именем (например, vlsnekunrn.pre) и пытается установить соединение с zeouk-gt.com.

Прошлое

Просматривая наши данные по заражениям за прошедшие периоды, мы обнаружили, что в прошлом аналогичные рассылки имели место 4 и 21 числа некоторых месяцев.

Февраль 2013 года

21 февраля мы заблокировали большое число электронных писем, содержащих очень похожее вложение в формате PDF. В данном случае имена файлов вложений содержали слово Rechnung (счет на оплату) и дату (например, Rechnung_201302.pdf или 2013_02rechnung.pdf). Компьютеры отправителей находились в самых разных странах — в частности, в ЮАР, США, Австралии и Японии. В тот раз имена компьютеров, указанные в заголовках писем, были сгенерированы случайным образом (например, ydopsgf и bxahwdkw). Что интересно, в заголовках сообщений присутствовали также ссылки на домен zeus3.hostwaycloud.com.

Расшифрованный код этого эксплойта на JavaScript был почти идентичен показанному выше образцу, однако вредоносная программа загружалась с нескольких URL-адресов:

allgaeu-heimatwerk.de/biznessler/typo3/sysext/t3skin/host.exe
corcagnani.de/host.exe
kkc-hannover.de/modules/mod_search/helper.exe
capital-success.de/pg/helper.exe

Январь 2013 года

В рассылке от 4 января файл вредоносной программы назывался Rechnung201301.pdf и загружался со следующих URL-адресов:

kohnle-gros.de/css/styleneu.exe
fairdealshop.co.uk/modules/mod_newsflash/helper.exe
emct.org.uk/downloads/server-stats.exe

Ноябрь 2012 года

В рассылке от 21 ноября вредоносный файл назывался RECHNUNG000201211.pdf и загружался со следующих адресов:

rocketmou.se/stuff/corduroyshop/corduroyshop.exe
coachplay.co.il/mapa/images/mapa.exe

Будущее

По всей видимости, это прекрасно организованная кампания, которая будет продолжаться и дальше. Поэтому будьте особенно осторожны, получив счет на оплату 21 марта или 4 апреля. Хотя, с другой стороны, авторы вполне могут поменять дату «выставления счетов», так что осторожность не повредит и в другие дни.