Nowa fala ataków została wykryta Ransomware

Ransomware Zeppelin z nową kampanią w Europie i USA

Nowa fala ataków została wykryta w sierpniu przez badaczy zJuniper Threatlab. Kampanię inicjuje phishingowy mail zawierający załącznik Microsoft Word (o nazwie „Faktura”), uzbrojony w złośliwe makra. Przestępcy ukryli fragmenty skryptu Visual Basic pośród śmieciowego tekstu, schowanego dodatkowo pod warstwą graficzną.

Macra najpierw parsują i wydobywają skrypt, aby następnie zapisać go w formie pliku w lokalizacji c:\wordpress\about1.vbs. Kolejne makro wyszukuje string o nazwie “winmgmts:Win32_Process” i z jego pomocą uruchamia about1.vbs na dysku ofiary. About1.vbs to trojan downloader, który to ostatecznie pobiera ransomware Zeppelin na maszynę ofiary.

Binaria pozostają w uśpieniu przez 26 sekund. Jest to jedna z metod zaciemniania swojej obecności. Kiedy analiza urządzenia dobiegnie końca, binaria uruchamiają plik instalacyjny ransomware. W kolejnym kroku zagrożenie weryfikuje język systemu oraz dane geolokalizacji za pomocą adresu IP. Jeśli potencjalna ofiara znajduje się na terenie Rosji, Białorusi, Kazachstanu lub Ukrainy, atak zostaje wstrzymany.

Ransomware as a service

Zeppelin to typowy RaaS.  Złośliwe oprogramowanie jest generowane za pomocą kreatora GUI i oferowane dystrybutorom w zamian za udział w przychodach. Mamy więc do czynienia z przestępczym programem afiliacyjnym. To co odróżnia go od wielu rozwiązań z tego segmentu to fakt, że ataki z jego pomocą są konkretnie ukierunkowane. W pierwszej fazie przestępcy wybierali duże firmy technologiczne i medyczne z obszaru Europy i USA. Aktualnie wiemy o 64 ofiarach – jednak ich ilość systematycznie rośnie.

Dodaj komentarz