Kampanie phishingowe skierowane do małych i średnich firm w Europie wciąż stanowią bardzo duże zagrożenie. Dane pokazują, że w maju 2024 roku szczególnie narażona na nie była Polska. 80% użytkowników ochronionych przed nowym rodzajem phishingu to polskie firmy. Poniżej opisujemy, jak wyglądały te ataki.
W maju 2024 roku badacze przeanalizowali dziewięć szeroko zakrojonych kampanii phishingowych, celujących w MŚP w Polsce, Rumunii i Włoszech, rozprzestrzeniając różne rodziny malware. W porównaniu do poprzedniego roku atakujący zmienili narzędzie dostarczające szkodliwe oprogramowanie z AceCryptor na ModiLoader i zwiększyli różnorodność wykorzystywanego malware. Atakujący używali skompromitowanych wcześniej kont e-mail i serwerów firmowych do rozsyłania złośliwych wiadomości, hostowania malware i gromadzenia skradzionych danych.
– Łącznie zidentyfikowaliśmy dziewięć kampanii phishingowych, z których siedem było wymierzonych w Polskę – mówi Jakub Kaloč, który analizował kampanie. – Payload dostarczany i uruchamiany na skompromitowanych maszynach był zróżnicowany. Wykryliśmy kampanie dostarczające Formbook, który kradnie informacje; Agent Tesla, trojana zdalnego dostępu i kradzieży danych; oraz Rescoms RAT, oprogramowania do zdalnego sterowania i nadzoru, zdolne do kradzieży wrażliwych danych.
Przebieg ataku
Wszystkie zbadane kampanie przebiegały według podobnego scenariusza. Aby zwiększyć skuteczność ataków, przestępcy podszywali się pod istniejące firmy i ich pracowników. Ofiara otrzymywała wiadomość e-mail z ofertą biznesową np.:
Lub bardziej rozbudowaną:
Załączniki
Załączniki miały nazwy takie jak RFQ8219000045320004.tar (Request for Quotation) lub ZAMÓWIENIE_NR.2405073.IMG (ORDER_NO), a sam plik był albo plikiem ISO, albo archiwum.
W kampaniach, w których załącznikiem był plik ISO, jego zawartością był plik wykonywalny ModiLoader (nazwany podobnie lub tak samo jak plik ISO), który uruchamiał się, gdy ofiara próbowała otworzyć ten plik wykonywalny.
W przypadku, gdy załącznikiem było archiwum RAR, jego zawartością był mocno zaciemniony skrypt wsadowy, o tej samej nazwie co archiwum, z rozszerzeniem .cmd. Plik skryptowy zawierał również zakodowany w base64 plik wykonywalny ModiLoader, zamaskowany jako lista unieważnienia certyfikatów kodowana w formacie PEM. Skrypt odpowiadał za zdekodowanie i uruchomienie osadzonego w nim pliku wykonywalnego ModiLoader.
Po uruchomieniu ModiLoader
ModiLoader to downloader napisany w języku programowania Delphi, którego prostym zadaniem jest pobieranie i uruchamianie złośliwego oprogramowania. W dwóch kampaniach próbki ModiLoader były skonfigurowane do pobierania malware z przejętego serwera należącego do węgierskiej firmy. W pozostałych kampaniach ModiLoader pobierał malware z chmury Microsoft OneDrive. Zaobserwowaliśmy cztery konta, na których hostowane było złośliwe oprogramowanie pobierane i uruchamiane przez ModiLoader.