Uma nova campanha de phishing está a distribuir um duplo golpe para infetar as vítimas. Num primeiro payload é entregue um info-stealer – Lokibot – que basicamente exfiltra detalhes sensíveis (credenciais) da máquina infetada.
Em segundo lugar, é deployed na máquina o ransomware Jigsaw para fechar o ciclo de infeção. Este ransomware cifra os ficheiros do computador da vítima e solicita um resgate.
Ao usarem este combo, os atacantes primeiro roubam nomes de utilizador e palavras-passe armazenadas em uma variedade de aplicações e, em seguida, implantam o Jigsaw Ransomware como meio de obter um resgate para aumentar a receita monetária do ataque.
O tipo de emails enviados junto deste malware são tipicamente faturas, transferências bancárias, etc. O malware é distribuído num ficheiro de excel anexado ao email.
Esta campanha está a usar ficheiros do Excel com nomes como: Swift.xlsx, orders.xlsx, Invoice For Payment.xlsx, Inquiry.xlsx.
Ao contrário de muitos anexos de phishing, os atores parecem estar a usar folhas legítimas ou cuidadosamente criadas para parecerem confiáveis, como mostrado abaixo.
De acordo com o investigador James, que descobriu esta campanha, estes anexos usam o LCG Kit para explorar uma antiga vulnerabilidade de execução remota de código do Microsoft Office CVE-2017-11882 no Equation Editor.
First time seeing #lokibot with #Ransomware (zemblax?)https://t.co/0MbCjVVeFg
cc @malwrhunterteam @demonslay335 @Amigo_A_ @hexlax on this one. pic.twitter.com/X3qvprvMZE
— James (@James_inthe_box) May 1, 2020
Se o processo de infeção for executado com sucesso, o malware (LokiBot) será descarregado de um website remoto.
O LokiBot tem a capacidade de roubar credenciais de autenticação armazenadas numa variedade de navegadores Web, clientes FTP, emai, etc, e depois envia a informação de volta para o C2 server.
Além disso, esta variante do LokiBot foi configurada para descarregar no final do primeiro estágio uma variante do Jigsaw Ransomware que usa uma máscara Salvadore Dali do popular programa Money Heist como imagem de fundo.
Esta variante do Jigsaw Ransomware cifra os ficheiros da vítima e adiciona a extensão .zemblax aos nomes dos ficheiros danificados.
A boa notícia é que o Jigsaw é facilmente decifrado; portanto, se for infetado pode ter uma taxa de sucesso na recuperação dos ficheiros originais.
Indicadores de Compromisso (IOCs)
VT: https://www.virustotal.com/gui/file/fcfc827205cd38cdf997f72b1d58eba51ac12da6ba5939279b626522b11fd938/relations MD5: 80046cece7ef2ce9371f8089c92a05c0 --C2-- hxxp://usapglobal.]usapglobal.org/cjjja/cjjjjjjjjjjjjjjjjjjj.exe hxxp://nicecars.]com.ar/mine/Panel/five/fre.php 190.61.250.]140 198.57.241.]222
One Reply to “Nova campanha de phishing está a usar duplo golpe para infetar as vítimas: info-stealer e ransomware”