Dziś na maila firmy prowadzonej przez tatę przyszła dość podejrzana faktura. Jako, że wielokrotnie uczulałem mamę na wszelakie zagrożenia czychające w sieci, skoro zobaczyła nietypowy format pliku (js), od razu mnie zawołała.
Piszę o tym, żeby was ostrzec i przy okazji przybliżyć metody ataku hakerów.

Treść maila była następująca:
Dzien dobry,
Informujemy, ze zalaczony dokument jest faktura w rozumieniu Ustawy z dnia 28.05.2018 r. o podatku od towarów i uslug. Mozna ja przechowywac w formie elektronicznej lub papierowej po wydrukowaniu.
Pawel Malecki
Asystent ds. Finansowych

Najważniejsze nagłówki wiadomości:
Temat: Faktura 28/05/2018
Data: 2018-05-28 9:20
Nadawca: "Pawel Malecki" <present@fmx20.pf.interia.pl>
Adresat: "Recipients" <present@fmx20.pf.interia.pl>;

Od razu widać po mailu, że coś jest z nim bardzo nie tak, tak po nagłówkach, jak po treści.
W załączniku znajdował się plik Javascript o nazwie faktura_RS9877H1628819P71829900001_2018_5_28_dfd348.pdf.js i rozmiarze 24735 bajtów.
Sumy kontrolne pliku:
MD5: fd5739feb1ef0577754f56ee177a2eec,
SHA1: 7d3af1a7c5e6eea2273bc27c2f7bf69060e164a2.

Zasadniczo oczywistym dla mnie było, że plik jest wirusem od samego początku, nie mogłem jednak oprzeć się pokusie jego bliższego zbadania.
Linuxie, do dzieła!

Plik został dobrze obfuskowany, czyli zamaskowany – innymi słowy jego zrozumienie zostało utrudnione tak, jak to tylko możliwe.
Nie da się jednak stworzyć żadnego programu, którego dekompilacja czy zrozumienie będzie całkowicie nieosiągalne, a kwestia dotyczy tylko czasu.
Poniżej, jako ciekawostkę, prezentuję proces działania pliku.

Po uruchomieniu plik prezentuje okno informujące, że dokument jest uszkodzony. Taaaak, bardzo to inteligentne.
Następnie samoistnie się usuwa, jednocześnie jednak wykonuje kopię do pamięci RAM, w której czeka i co 60 sekund podejmuje próbę połączenia z serwerem.
Kiedy się uda, wysyła do serwera identyfikator komputera i czeka na odpowiedź.
Jeżeli serwer odpowie, plik wykonuje otrzymany kod.

I to tyle, proste, a groźne.
Pamiętajcie, nigdy, przenigdy nie uruchamiajcie podejrzanych plików.

19 uwag do wpisu “To nie była faktura

  1. Czekaj, bo ja tu czegoś nie rozumiem i albo mój mózg jest jakiś zawieszony, albo to ze mną coś nie tak jest, albo… No nie wiem. Dostajesz wirusa, w załączniku. Ten wirus twierdzi, że plik jest uszkodzony, po czym plik się usuwa, ale zachowuje kopię w pamięci RAM i co sześćdziesiąt sekund próbuje dokonać połączenia z serwerem, wysyłając indetyfikator komputera. To zrozumiałam. A właśnie, co z tym kodem, o którym pisałeś w ostatniej linijce?

  2. Próbowałem, ale nic nie odesłał. Podejrzewam, że wysłałby właściwe polecenie dopiero po jakimś czasie, by nie łączyć ataku z mailem.

  3. albo tak, albo ktos juz sie zorientowal, co sie dzieje i przejal serwery kampani, choc po tak krotkim czasie od otrzymania maila to malo raczej prawdopodobne. Btw poinformuj o kampanii zaufana, wysylajac im plik i analize, oni lubia takie rzeczy dostawac i czesto z tego pisza artykuly.

  4. O kurcze, niesamowite, nigdy nie otworzyłam podejrzanego pliku i jak dostaję coś angielskiego, a nie wiem co to jest to nawet meila nie otwieram.

  5. A ja zwykle otwieram, choć nie tak, jak pragnąłby tego haker.
    Ja nie mogę nigdy oprzeć się pokusie dogłębnego zbadania, jak dany wirus ma działać. 🙂

  6. No tak, ale nie zawsze ożna się zoriętować, że to jest wirus, a przynajmniej taki zwykły, szary użytkownik nie zawsze może.

  7. Ja mam, Pajperze, dokładnie to samo. Co prawda nie otwieram linków, bo na linki jestem uczulona, chociaż rzeczywiście czasami kopiuję adres linku i patrzę czy on mnie nie naprowadzi na rozwiązanie, ale jeśli mam załącznik, to odłączam się od sieci i próbuję jakoś tę rzecz przeanalizować

  8. Niee, ja bym tego nie uruchamiał nawet odłączony. Nie ryzykuj tak.
    Tu twym przyjacielem dezasemblator, edytor szesnastkowy, a przy JS narzędzie js detox na przykład.

  9. A ja mam komputer tzw. testowy o dość słabym procku i niewielkiej ilości ramu bo jedynie 1 gb i na nim odpalam wszystko bo mi go nie żal. Jak się cosik posypie, stawiam system na nowo i dalejże testować następne indywidua.

Dodaj komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *