Polskie małe i średnie firmy znów na celowniku cyberprzestępców

Następny artykuł

W maju 2024 ochroniono 21 000 użytkowników przed 3 rodzinami malware typu infostealer rozprzestrzenianymi za pomocą ModiLoadera.

Kampanie phishingowe skierowane do małych i średnich firm w Europie wciąż stanowią bardzo duże zagrożenie. Dane pokazują, że w maju 2024 roku szczególnie narażona na nie była Polska. 80% użytkowników ochronionych przed nowym rodzajem phishingu to polskie firmy. Poniżej opisujemy, jak wyglądały te ataki.

W maju 2024 roku badacze przeanalizowali dziewięć szeroko zakrojonych kampanii phishingowych, celujących w MŚP w Polsce, Rumunii i Włoszech, rozprzestrzeniając różne rodziny malware. W porównaniu do poprzedniego roku atakujący zmienili narzędzie dostarczające szkodliwe oprogramowanie z AceCryptor na ModiLoader i zwiększyli różnorodność wykorzystywanego malware. Atakujący używali skompromitowanych wcześniej kont e-mail i serwerów firmowych do rozsyłania złośliwych wiadomości, hostowania malware i gromadzenia skradzionych danych.

- Łącznie zidentyfikowaliśmy dziewięć kampanii phishingowych, z których siedem było wymierzonych w Polskę - mówi Jakub Kaloč, który analizował kampanie. – Payload dostarczany i uruchamiany na skompromitowanych maszynach był zróżnicowany. Wykryliśmy kampanie dostarczające Formbook, który kradnie informacje; Agent Tesla, trojana zdalnego dostępu i kradzieży danych; oraz Rescoms RAT, oprogramowania do zdalnego sterowania i nadzoru, zdolne do kradzieży wrażliwych danych.

Przebieg ataku

Wszystkie zbadane kampanie przebiegały według podobnego scenariusza. Aby zwiększyć skuteczność ataków, przestępcy podszywali się pod istniejące firmy i ich pracowników. Ofiara otrzymywała wiadomość e-mail z ofertą biznesową np.:

Lub bardziej rozbudowaną:

Załączniki

Załączniki miały nazwy takie jak RFQ8219000045320004.tar (Request for Quotation) lub ZAMÓWIENIE_NR.2405073.IMG (ORDER_NO), a sam plik był albo plikiem ISO, albo archiwum.

W kampaniach, w których załącznikiem był plik ISO, jego zawartością był plik wykonywalny ModiLoader (nazwany podobnie lub tak samo jak plik ISO), który uruchamiał się, gdy ofiara próbowała otworzyć ten plik wykonywalny.

W przypadku, gdy załącznikiem było archiwum RAR, jego zawartością był mocno zaciemniony skrypt wsadowy, o tej samej nazwie co archiwum, z rozszerzeniem .cmd. Plik skryptowy zawierał również zakodowany w base64 plik wykonywalny ModiLoader, zamaskowany jako lista unieważnienia certyfikatów kodowana w formacie PEM. Skrypt odpowiadał za zdekodowanie i uruchomienie osadzonego w nim pliku wykonywalnego ModiLoader.

Po uruchomieniu ModiLoader

ModiLoader to downloader napisany w języku programowania Delphi, którego prostym zadaniem jest pobieranie i uruchamianie złośliwego oprogramowania. W dwóch kampaniach próbki ModiLoader były skonfigurowane do pobierania malware z przejętego serwera należącego do węgierskiej firmy. W pozostałych kampaniach ModiLoader pobierał malware z chmury Microsoft OneDrive. Zaobserwowaliśmy cztery konta, na których hostowane było złośliwe oprogramowanie pobierane i uruchamiane przez ModiLoader.

Więcej szczegółów technicznych można znaleźć w artykule na blogu welivesecurity.com.