Zaloguj się do usług
bezpieczeństwa
18 stycznia 2022
AsyncRat "od Sizeer" - zaglądamy do C&C

Od piątku CERT Orange Polska obserwuje kampanię phishingową, podszywającą się pod markę Sizeer. Docelowa złośliwa zawartość maila to rozbudowany Remote Access Trojan, AsyncRat.

Załącznik to standardowy dla takich kampanii plik z docelowym rozszerzeniem SRC (udający PDF). Z tego typu atakami spotykaliśmy się dość często, jednak to jeden z pierwszych przypadków, gdy nadużywana jest marka Sizeer.

Zarówno archiwum (pierwszy krok) jak i zawarty w nim plik (udający fakturę) wymagają wpisania hasła Sizeer, wyszczególnionego w mailu. Dlaczego „faktura” jest zamykana w pliku ZIP? To utrudnia automatyczną analizę silnikom antywirusowym, tym bardziej, że plik jest zabezpieczony hasłem.

Co potrafi AsyncRat?

Odebrać plik wysłany przez botmastera i wykonać go w pamięci zainfekowanego systemu:

Monitorować aktywność ofiary, np. za pomocą połączenia zdalnego pulpitu:

 

a także odczytywać naciśnięcia przycisków, wykradać hasła, ingerować w działanie menedżera procesów, menedżera plików, podglądać widok z kamery komputera, itd.

 

Dodatkowo botmaster dysponuje szeregiem funkcji dodatkowych:

m.in. przeprowadzania z pomocą komputera ofiary ataku DDoS:

Potrafi również wywołać na zainfekowanym urządzeniu powłokę PowerShell:

 

Wyszukiwać konkretne pliki (np. portfele BTC):

 

Poza tym m.in. otworzyć dowolną stronę, wyłączyć Windows Defendera, wysłać wiadomość do użytkownika, nawiązać z nim czat, czy nawet... ustawić własne tło.

 

 

Indicators of Compromise

Servery C&C (tranmisja przy użyciu portu 7077):

ssonn.v6.rocks:7707
sson.dnsup.net:7707

E-maile wysyłające phishing:

sanitizacion-desinfeccion[AT]felcoservicios.com
info[AT]brainlytree.com
info[AT]neelsnaturalsoap.com


Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl