مراقب هرزنامه‌های با پیوست فایل XLS باشید!

به گزارش شرکت مهندسی شبکه گستر، در روزهای اخیر مهاجمان از طریق هرزنامه‌هایی با پیوست فایل مخرب و با بکارگیری تکنیک‌های مهندسی اجتماعی در حال آلوده‌سازی دستگاه کاربران کشورهای مختلف از جمله ایران به بدافزار و سرقت اطلاعاتی حساسی همچون داده‌های اصالت‌سنجی (Credential) آنها هستند.

پیوست این ایمیل‌ها، فایلی با عنوان account_invoice_may2019.zip است که خود حاوی فایلی با همین نام اما با پسوند XLS است. مشخصات فایل XLS در تصویر زیر قابل مشاهده است.

با اجرای آن، در صورت فعال بودن بخش ماکرو، کد تزریق شده در فایل از روی درگاه 49195 اقدام به برقراری ارتباط با دامنه https://kentona[.]su کرده و پس از دریافت دو فایل زیر، آنها را در مسیر C:\Users\Public ذخیره می‌کند:

• wprgxyeqd79.exe
• rtegre.exe

از جمله اقدامات مخرب wprgxyeqd79.exe، تسخیر پروسه‌های زیر است:

• %WinDir%\syswow64\werfault.exe
• %WinDir%\System32\taskhost.exe
• %WinDir%\syswow64\explorer.exe
• %WinDir%\explorer.exe

همچنین ماژول‌های wininet.dll و nss3.dll را به ترتیب در مرورگرهای Internet Explorer و Firefox به کنترل خود در می‌آورد.

به گزارش شرکت مهندسی شبکه گستر، wprgxyeqd79.exe با ایجاد فایل exit.exe در مسیر %Temp% پروسه معتبر cmd.exe را فراخوانی کرده و فرمان زیر را از طریق آن اجرا می‌کند تا از این طریق اتصال یا عدم اتصال دستگاه آلوده به اینترنت را مورد بررسی قرار دهد:

• ping www.cloudflare.com -n 3 -w 1000

در ادامه فایلی با نام kernel.dll در مسیر %Temp% ذخیره و پس از تغییر نام آن به uninstall.exe، آن را با پارامترهای زیر اجرا می‌کند:

• uninstall.exe x -pQELRatcwbU2EJ5 -y

uninstall.exe کلیدهای زیر را در محضرخانه سیستم عامل مورد دست‌درازی قرار می‌دهد:

• Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  Name:         UNCAsIntranet
  Value:         0
• Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap
  Name:         AutoDetect
  Value:         1

همچنین uninstall.exe اقدام به ایجاد فایل زیر بر روی دستگاه می‌کند:

• %ProgramData%\Windows Anytime Upgrade\__tmp_rar_sfx_access_check_1382781

uninstall.exe، رونوشتی از فایل exit.exe را در مسیر زیر ایجاد کرده و از طریق آن فرمان cmd.exe /c i.cmd را اجرا می‌کند:

• %ProgramData%\Windows Anytime Upgrade\

اجرای فایل i.cmd که در فرمان مذکور به آن اشاره شده موجب ایجاد کلیدی در محضرخانه می‌شود؛ وظیفه کلید مذکور اجرای خودکار فایل winserv.exe در هر بار راه‌اندازی شدن سیستم است.

در مرحله بعد فایل winserv.exe در مسیر زیر ایجاد و اجرا می‌شود:

• %ProgramData%\Windows Anytime Upgrade

مشخصات این فایل که عملکردی درب‌پشتی (Backdoor) دارد در تصویر زیر نمایش داده شده است.

winserv.exe از فایل زیر برای ذخیره برخی اطلاعات استفاده می‌کند:

• %AppData%\Roaming\RMS_settings\Logs\rms_log_2019-05.html

همچنین در مسیر زیر در محضرخانه اقدام به ساخت کلیدهایی می‌کند که نقش آنها نگهداری تنظیمات این درب‌پشتی است:

• HKEY_CURRENT_USER\Software\tektonit\Remote MANIPULATOR System\Host\Parameters

winserv.exe با برقراری ارتباط با نشانی زیر با مهاجمان به تبادل اطلاعات می‌پردازد:

• rms-server.tektonit.ru

veter2005_MAPS_10cr24.exe دیگر فایلی است که در مسیر %Temp% ایجاد و اجرا می‌شود.

فایل مذکور اقدام به ساخت کلید زیر در محضرخانه می‌کند:

• HKEY_CURRENT_USER\Software\Microsoft\Multimedia\DrawDib
  Name:         vga.drv 1280x720x32(BGR 0)
  Value:         31,31,31,31

ضمن اینکه اجرای veter2005_MAPS_10cr24.exe منجر به ایجاد فایل زیر بر روی دستگاه می‌شود:

• %LocalAppData%\Local\Temp\1D86.tmp

فایل rtegre.exe که مشخصات آن در تصویر زیر نشان داده شده است وظیفه سرقت اطلاعات اصالت‌سنجی کاربر که به نحوی در فایل‌های مرتبط با نرم افزارهای موسوم به مرورگر (Browser) ذخیره شده‌اند بر عهده دارد.

برای این منظور، rtegre.exe کنترل پروسه‌های زیر را در اختیار می‌گیرد:

• %ProgramFiles(x86)%\Internet Explorer\iexplore.exe
• %ProgramFiles(x86)%\Mozilla Firefox\firefox.exe

همچنین رونوشتی از فایل Login Data را در مسیر زیر تهیه و آن را به مهاجمان ارسال می‌کند.

• %LocalAppData%\Google\Chrome\User Data\Default

فایل rtegre.exe اقدام به برقراری ارتباط با نشانی‌های زیر می‌کند:

• 54.225.171.237:443
• 128.199.132.7:443
• 129.6.15.28:13
• 193.36.119.24:443
• 149.154.67.50:443

لازم به ذکر است که rtegre.exe از فایل زیر که مبتنی بر پایگاه داده SQLite است بهره می‌گیرد:

• %Temp%\{8BC2BF45-ABFD-43A2-8DDD-71C75AF9BA15}\temp

فایل‌های مخرب اشاره شده در این گزارش با نام‌های زیر شناسایی قابل شناسایی است:

Bitdefender

• Trojan.GenericKD.31993461
• Trojan.GenericKD.41306486
• VB:Trojan.Agent.DXGL
• Trojan.GenericKD.41307175
• Trojan.GenericKD.31992360
• Application.Agent.HCX
• Trojan.Agent.DXLN

McAfee

• RDN/Generic.dx
• RDN/PUP-XHO-OQ
• GenericR-QBQ!8ED076F9B5D1
• Generic BackDoor.u

Sophos

• Troj/DocDl-TTU
• Troj/DwnLdr-YDD
• Troj/Konus-C
• Mal/Generic-S
• Troj/Dofoil-FW
• Remote Admin Tool TektonIT (PUA)