Nebezpečný e-mail šířící se sítí OU

V neděli 9. prosince 2018 mnoho uživatelů sítě Ostravské univerzity v jejich pracovní, nebo studentské e-mailové schránce překvapil e-mail, který se tvářil jako připomínka platby neuhrazené faktury. E-mail měl následující obsah:

Pokud si někdo dal tu námahu a prověřil si existenci české společnosti a člověka, který ho "podepsal" zjistil, že daná společnost i daná osoba reálně existují. E-mail nebyl cílený pouze na naši univerzitu, ale šířil se masivněji celým českým internetem. Netrvalo dlouho a dotyčná společnost se ozvala, s tím, že došlo ke zneužití jejího jména. V pondělí reagoval na danou událost i administrátor e-mailového serveru OU s upozorněním, aby uživatelé přílohu v dané zprávě neotvírali.

V rámci výzkumu jsme se na daný e-mail podívali blíže. Samotná zpráva budí na první pohled jistý stupeň důvěryhodnosti, je napsána gramaticky správné a zjevně sází na první dojem příjemce - tedy vystrašení, s tím, že uživatel si bude chtít danou fakturu, kterou údajně nezaplatil podívat v příloze. Adresa odkud zpráva přichází sekretariat24@pihouse.pl patří polské společnosti, která se věnuje klinickým zkouškám nových léků. Její zaměření tedy absolutně nesouvisí s předmětem dané zprávy a na celkovém kontextu se pro laika právě zde nachází nejrušivější moment malware kampaně, který využil její autor. Pro samotné odeslání byl využit dostatečně nezabezpečený, pravděpodobně polský mail server, samotný odesílatel vystupuje za švédskou IP adresou.

Co se vlastně nachází v příloze?

Jde o JS/TrojanDownloader.Nemucod tzv. "Trojan downloader", tedy o škodlivý kód (malware), který sám o sobě přímo není nutně škodlivý, ale stahuje další soubory (resp. jiný malware), které již škodlivé být mohou – např. může stáhnout ransomware (malware, který zašifruje váš disk a požaduje výkupné za jeho zpřístupnění). V současnosti jej podle služby VirusTotal.com detekuje 15 antivirů z 54 např. ESET, Kaspersky, Gdata atd. Naopak jeho detekce uniká antivirem jako Avast, Avira, Symantec či AVG. Zajímavé je i jeho rozšíření. Na celém světě byl nejvíce rozšířen v Česku. Až s odstupem následuje Polsko.

Zdroj: ESET Virusradar.com

Obsah zprávy se mění, dokud např. ve zprávě, kterou jsme zachytili my (CSIRT OU) se jednalo o částku 6 649,00 Kč, ve zprávě kterou nám reportoval uživatel se už jednalo o 2 498,00 Kč apod. Prvotní výskyt tohoto trojana byl zaznamenán již v roce 2014, vrchol dosáhl v roce 2016, a nyní zdá se ho někdo nepříliš šikovně upravil „speciálně“ pro Česko.

Naše analýza ukázala, že po spuštění se trojan snaží aktivně šířit na lokální síti. Využívá k tomu protokol NetBios, stanice hledá prostřednictvím multicastových adres a protokolu Link-Local Multicast Name Resolution (LLMNR). Pomocí protokolu HTTP si ověří funkčnost síťového spojení prostřednictvím Microsoft NCSI. Kontaktuje také další IP adresy pravděpodobně za účelem získání dalších instrukcí a stažení dalšího škodlivého kódu.

Jak se chránit?

Ochrana spočívá zejména v používání "zdravého rozumu". Pokud obdržíte e-mail s přílohou od neznámého odesílatele, nebo i od člověka, kterého znáte, ale obsah je neočekávaný nebo nesmyslný, rozhodně takovou přílohu neotvírejte a neklikejte ani na žádné odkazy, které obsahuje. Vždy je také důležité používat aktualizovaný antivirus a aktualizovaný operační systém. CSIRT OU v brzké době zorganizuje také několik školení a workshopů jak se lépe chránit v kybernetickém prostoru.

Zveřejněno / aktualizováno: 13. 12. 2018