Масова фішингова розсилка банківського трояна Zeus

22/08/2017

Командою CERT-UA було проаналізовані наступні файли, які були задіяні в масовій розсилці банківського трояна Zeus:

 

7f21f830f0ecc7ab24496476136a8201 Доручення та рахунок 321 від 21 серпня 2017р.rar

https://virustotal.com/#/file/ae694861beaf93e8f79ed4ccdc0a67b49ef78fb246cf2d015eef5a9afb588fd0/detection

50cd476b7b41cecce729b0d0df83564b 1.rar

https://virustotal.com/#/file/d7aa453b1ad09fcb5c8032c59a2b32241c1fdbcfa5c7e8835dc9f17a101ac664/detection

 

Архів містив наступні файли:

bf516673f341c43adbdcd79938d229e8 pax_321.js

091f82ed4427eed7f009da2cb313e6c9 Рахунок.js

247ffdd07a7cc0008c7d4574249b8a02 Довідка.pdf #goodware

38336c0b8938632458e933f20fc29169 реквізити.doc #goodware

 

Даний js-файл позиціонувався як завантажувач, який мав на меті підвантажити exe-файл с наступних URL:

hxxp://marianyindianshop.ru/ico/load.exe

hxxp://crystalmind.ru/versionmaster/nova/load.exe

hxxp://nolovenolivethiiswarinworld.com/ico/load.exe

hxxp://cfm.com.ua/awstats/load.exe

https://virustotal.com/#/file/0885905c9997f003dfac42232a2f4b38b7f6a8773bdd6cdbc6386b28d1357109/detection


Після попереднього аналізу даного файлу вдалося виянити, що це був завантажувач SmokeLoader, який підвантажував на інфікований комп’ютер банківське ШПЗ Zeus з одного з наступних URL:

 

hxxp://kantslerinborisinafrolova.ru

hxxp://contsernmayakinternacional.ru

hxxp://soyuzinformaciiimexanikiops.com


Рекомендації:         

  • заблокувати запуск JS-файлів
  • заблокувати архіви, що містять JS-файли
  • заблокувати доступ до вищезазначених доменів