Изучая свежую волну спама в России, мы обратили внимание на другую атаку. С середины января 2019 года известная кампания “Love you” доработана и перенацелена на Японию, где используется для распространения шифратора GandCrab 5.1.
![](https://habrastorage.org/r/w780q1/webt/dd/ra/fh/ddrafhnk4sd9uhjypkigh7nvehk.jpeg)
По данным телеметрии, последняя версия “Love you” запущена 28 января 2019 года, ее активность примерно вдвое превысила первоначальную (см. график ниже). Как и в середине января, с помощью спама распространяется набор вредоносных полезных нагрузок с некоторыми обновлениями. Так, мы видели попытки загрузки криптомайнера, ПО для изменения системных настроек, вредоносного загрузчика, червя Phorpiex, а также шифратора GandCrab версии 5.1.
![](https://habrastorage.org/r/w1560/webt/ko/g6/i0/kog6i0kmafgezzxhb51ya7kbxyw.png)
Рисунок 1. Детектирование вредоносных вложений JavaScript, распространяемых в кампании “Love you” и ее последней волне
По состоянию на 29 января 2019 года подавляющее большинство обнаружений приходится на Японию (95%), каждый час детектируются десятки тысяч вредоносных писем. В тот же день JS/Danger.ScriptAttachment (по классификации ESET — вредоносный JavaScript, распространяемый через вложения электронной почты) был четвертой по числу обнаружений угрозой в мире и угрозой №1 в Японии (см. ниже).
![](https://habrastorage.org/r/w1560/webt/t9/zm/r1/t9zmr1crdhy5ynqz7ebllufh-ay.png)
Рисунок 2. JS/Danger.ScriptAttachment был угрозой №1 в Японии по состоянию на 29 января
В последней кампании атакующие изменили тексты рассылок, перейдя от «Love You» в теме письма к заголовкам, связанным с Японией. Прежним осталось множество смайлов в теме и теле письма.
Темы писем, которые мы видели в ходе анализа:
— Yui Aragaki ;)
— Kyary Pamyu Pamyu ;)
— Kyoko Fukada ;)
— Yuriko Yoshitaka ;)
— Sheena Ringo ;)
— Misia ;)
(японские звезды шоу-бизнеса)
Изученные вредоносные вложения представляют собой ZIP-архивы, замаскированные под изображения с именами формата PIC0-[9-digit-number]2019-jpg.zip. На рисунке ниже представлены примеры таких писем.
![](https://habrastorage.org/r/w1560/webt/ys/ij/ob/ysijob11j2fc-kqfn8xyysnalqc.png)
Рисунок 3. Примеры спам-писем из «японской» кампании
ZIP-архив содержит JavaScript-файл с именем в том же формате, но заканчивающимся только на .js. После извлечения и запуска JavaScript загружает полезную нагрузку первого этапа с C&C-сервера атакующих – ЕХЕ-файл, детектируемый продуктами ESET как Win32/TrojanDownloader.Agent.EJN. URL-адреса, на которых размещена эта полезная нагрузка, имеют путь, заканчивающийся на bl*wj*b.exe (имя файла изменено) и krabler.exe; эта полезная нагрузка загружается в C:\Users\[username]\AppData\Local\Temp[random].exe.
Полезная нагрузка первого этапа скачивает одну из следующих финальных полезных нагрузок с того же C&C-сервера:
— шифратор GandCrab версии 5.1
— криптомайнер
— червь Phorpiex
— загрузчик, работающий в соответствии с языковыми настройками (скачивает полезную нагрузку только в том случае, если языковые настройки зараженного компьютера соответствуют Китаю, Вьетнаму, Южной Корее, Японии, Турции, Германии, Австралии или Великобритании)
— ПО для изменения системных настроек
GandCrab 5.1 шифрует файлы, добавляя случайное расширение из пяти символов к их именам. Требования выкупа, содержащие это расширение в именах файлов и их содержимом, создаются в каждой папке, затронутой шифратором.
![](https://habrastorage.org/r/w1560/webt/tm/g8/1u/tmg81uxqctzkbwq2j8nxxitkdh4.png)
Рисунок 4. Требование выкупа GandCrab v5.1
Полезная нагрузка данной кампании скачивается с IP-адреса 92.63.197[.]153, геолокация которого соответствует Украине. Адрес использовался в кампании “Love you” с середины января.
Примеры хешей вредоносных вложений ZIP
Детектирование ESET: JS/Danger.ScriptAttachment
Примеры хешей загрузчиков JavaScript
Детектирование ESET: JS/TrojanDownloader.Agent.SYW или JS/TrojanDownloader.Nemucod.EDK
Примеры хешей полезной нагрузки первого этапа
Детектирование ESET: Win32/TrojanDownloader.Agent.EJN
Примеры хешей финальной полезной нагрузки
Шифратор GandCrab
Криптомайнер
Червь Phorpiex
Загрузчик
ПО для изменения системных настроек
C&C-сервер, используемый в кампании
![](https://habrastorage.org/webt/dd/ra/fh/ddrafhnk4sd9uhjypkigh7nvehk.jpeg)
По данным телеметрии, последняя версия “Love you” запущена 28 января 2019 года, ее активность примерно вдвое превысила первоначальную (см. график ниже). Как и в середине января, с помощью спама распространяется набор вредоносных полезных нагрузок с некоторыми обновлениями. Так, мы видели попытки загрузки криптомайнера, ПО для изменения системных настроек, вредоносного загрузчика, червя Phorpiex, а также шифратора GandCrab версии 5.1.
![](https://habrastorage.org/webt/ko/g6/i0/kog6i0kmafgezzxhb51ya7kbxyw.png)
Рисунок 1. Детектирование вредоносных вложений JavaScript, распространяемых в кампании “Love you” и ее последней волне
По состоянию на 29 января 2019 года подавляющее большинство обнаружений приходится на Японию (95%), каждый час детектируются десятки тысяч вредоносных писем. В тот же день JS/Danger.ScriptAttachment (по классификации ESET — вредоносный JavaScript, распространяемый через вложения электронной почты) был четвертой по числу обнаружений угрозой в мире и угрозой №1 в Японии (см. ниже).
![](https://habrastorage.org/webt/t9/zm/r1/t9zmr1crdhy5ynqz7ebllufh-ay.png)
Рисунок 2. JS/Danger.ScriptAttachment был угрозой №1 в Японии по состоянию на 29 января
Сценарий атаки
В последней кампании атакующие изменили тексты рассылок, перейдя от «Love You» в теме письма к заголовкам, связанным с Японией. Прежним осталось множество смайлов в теме и теле письма.
Темы писем, которые мы видели в ходе анализа:
— Yui Aragaki ;)
— Kyary Pamyu Pamyu ;)
— Kyoko Fukada ;)
— Yuriko Yoshitaka ;)
— Sheena Ringo ;)
— Misia ;)
(японские звезды шоу-бизнеса)
Изученные вредоносные вложения представляют собой ZIP-архивы, замаскированные под изображения с именами формата PIC0-[9-digit-number]2019-jpg.zip. На рисунке ниже представлены примеры таких писем.
![](https://habrastorage.org/webt/ys/ij/ob/ysijob11j2fc-kqfn8xyysnalqc.png)
Рисунок 3. Примеры спам-писем из «японской» кампании
ZIP-архив содержит JavaScript-файл с именем в том же формате, но заканчивающимся только на .js. После извлечения и запуска JavaScript загружает полезную нагрузку первого этапа с C&C-сервера атакующих – ЕХЕ-файл, детектируемый продуктами ESET как Win32/TrojanDownloader.Agent.EJN. URL-адреса, на которых размещена эта полезная нагрузка, имеют путь, заканчивающийся на bl*wj*b.exe (имя файла изменено) и krabler.exe; эта полезная нагрузка загружается в C:\Users\[username]\AppData\Local\Temp[random].exe.
Полезная нагрузка первого этапа скачивает одну из следующих финальных полезных нагрузок с того же C&C-сервера:
— шифратор GandCrab версии 5.1
— криптомайнер
— червь Phorpiex
— загрузчик, работающий в соответствии с языковыми настройками (скачивает полезную нагрузку только в том случае, если языковые настройки зараженного компьютера соответствуют Китаю, Вьетнаму, Южной Корее, Японии, Турции, Германии, Австралии или Великобритании)
— ПО для изменения системных настроек
GandCrab 5.1 шифрует файлы, добавляя случайное расширение из пяти символов к их именам. Требования выкупа, содержащие это расширение в именах файлов и их содержимом, создаются в каждой папке, затронутой шифратором.
![](https://habrastorage.org/webt/tm/g8/1u/tmg81uxqctzkbwq2j8nxxitkdh4.png)
Рисунок 4. Требование выкупа GandCrab v5.1
Полезная нагрузка данной кампании скачивается с IP-адреса 92.63.197[.]153, геолокация которого соответствует Украине. Адрес использовался в кампании “Love you” с середины января.
Индикаторы компрометации
Примеры хешей вредоносных вложений ZIP
8551C5F6BCA1B34D8BE6F1D392A41E91EEA9158B
BAAA91F700587BEA6FC469FD68BD8DE08A65D5C7
9CE6131C0313F6DD7E3A56D30C74D9E8E426D831
83A0D471C6425DE421145424E60F9B90B201A3DF
57F94E450E2A504837F70D7B6E8E58CDDFA2B026
Детектирование ESET: JS/Danger.ScriptAttachment
Примеры хешей загрузчиков JavaScript
cfe6331bdbd150a8cf9808f0b10e0fad4de5cda2
c50f080689d9fb2ff6e731f72e18b8fe605f35e8
750474ff726bdbd34ffc223f430b021e6a356dd7
1445ea29bd624527517bfd34a7b7c0f1cf1787f6
791a9770daaf8454782d01a9308f0709576f75f9
Детектирование ESET: JS/TrojanDownloader.Agent.SYW или JS/TrojanDownloader.Nemucod.EDK
Примеры хешей полезной нагрузки первого этапа
47C1F1B9DC715D6054772B028AD5C8DF00A73FFC
Детектирование ESET: Win32/TrojanDownloader.Agent.EJN
Примеры хешей финальной полезной нагрузки
Шифратор GandCrab
885159F6F04133157871E1D9AA7D764BFF0F04A3
Win32/Filecoder.GandCrab.EКриптомайнер
14E8A0B57410B31A8A4195D34BED49829EBD47E9
Win32/CoinMiner.BEXЧервь Phorpiex
D6DC8ED8B551C040869CD830B237320FD2E3434A
Win32/Phorpiex.JЗагрузчик
AEC1D93E25B077896FF4A3001E7B3DA61DA21D7D
Win32/TrojanDownloader.Agent.EEQ ПО для изменения системных настроек
979CCEC1DF757DCF30576E56287FCAD606C7FD2C
Win32/Agent.VQU C&C-сервер, используемый в кампании
92.63.197[.]153