DNSC Nu deschideți atașamente necunoscute! Un nou val de atacuri la nivelul spațiului cibernetic național.

În ultima perioadă, la nivelul Directoratului Național de Securitate Cibernetică (DNSC) a fost identificat un nou val de atacuri la nivelul spațiului cibernetic național.

Potrivit DNSC, atacatorii transmit un e-mail cu subiect „AVERTISMENT ÎNCĂLCARE A DREPTURILOR DE PROPRIETATE INTELECTUALĂ”, pretinzând că expeditorul este o firmă de avocatură. În corpul mesajului se găsește un link scurt, hXXps://tr[.]ee/ABudhB, care operează mai multe redirecționări:

hxxps://tr[.]ee/ABudhB
 ↳ hxxps://goo[.]su/u6zIvs
  ↳ hxxps://senfedg[.]com?u=hxxps://goo[.]su/P7wvI9s
   ↳ hxxps://www.mediafire[.]com/file/cr1i3xf6f17576n/Verdikto+katar+o+rodipe.zip/file
Ultima adresă web facilitează descărcarea unei arhive de tip ZIP, „Verdikto katar o rodipe.zip”, care conține următoarele fișiere:

• „Komentarura katar o rodipe.exe” - PE32 executable (GUI)
• „vcruntime140.dll” – PE32 executable (DLL)
• „version.dll” - PE32 executable (DLL)
• „Document.pdf” - PEM certificate
• „Images.png” - PE32+ executable (GUI) x86-64

La rulare, aplicația de tip malware activează un proces cmd.exe care injectează un cod elaborat în limbajul Python, la nivelul svchost.exe. Acesta încarcă un modul purehvnc prin RegAsm.exe, pentru ca sistemul infectat să poată fi controlat de la distanță.- a mai punctat sursa citată. 

Procesul RegAsm.exe aplică conexiuni în memorie, la nivelul interfeței Antimalware Scan Interface (AMSI), dezactivând astfel detecția dinamică a codului periculos.

• Configurare și comunicații cu Telegram: Componenta “ims-api” din exe încarcă un token de bot Telegram şi stabileşte comunicarea C2 prin apeluri la API-ul getMe, getUpdates şi deleteWebhook.
• Furt de credențiale din browsere: Aplicația de tip malware detectează și atașează un debugger la procesele browserelor (chrome.exe, msedge.exe), permițând extragerea datelor de tip cookies și a altor date de autentificare stocate.
• Descărcare de module şi librării dinamice: Prin procesul „Images.png” (generat ca payload intermediar), sunt scrise pe disc module Python şi biblioteci runtime C necesare pentru execuţia codului principal.
• Captură de ecran: Se creează fișierul Images.png care conține capturi ale desktop-ului victimei, realizate fie de exe, fie de API-uri interne, apoi prelucrate pentru exfiltrare.
• Decodare Base64 a payload-ului secundar: În cmd.exe, utilitarul CertUtil este folosit pentru a decodifica un pachet de date binare codificate Base64, obținând un executabil suplimentar sau script Python ascuns.
• Întrerupere a browserelor: Execută EXE pentru a opri browserele țintă și a elibera datele de autentificare.
• Trimite cookie-uri, capturi de ecran și fișiere de configurare către bot-ul Telegram.
• Acces remote purehvnc: Modulul purehvnc încărcat în exe ascultă pe porturile 56001-56003, oferind atacatorilor acces și control complet asupra sistemului.
• Enumerare extensii crypto-portofele: Prin exe, aplicația malware caută ID-uri ale extensiilor de portofele criptografice instalate în browser, pregătind exfiltrarea cheilor private.
• Recon conexiuni externe: Înainte de exfiltrare, exe verifică adresa IP externă a victimei și stabilește sesiuni de rețea către serverele de C2.

 

INDICATORI DE COMPROMITERE (IoC)
Indicator	Tip	Descriere
hxxps://www.mediafire[.]com/file/cr1i3xf6f17576n/Verdikto+katar+o+rodipe.zip/file	URL	Descarcă arhiva ZIP
59c8d8e70b04b4f6e642d03eb0007edc7934e0d725f9126fe20650fb3fc68137	SHA256	SHA256 hash al arhivei „Verdikto katar o rodipe.zip”
08c7fb6067acc8ac207d28ab616c9ea5bc0d394956455d6a3eecb73f8010f7a2	SHA256	SHA256 hash al fișierului „Komentarura katar o rodipe.exe”
a088131e8eb4e2178789af49b646ab463cf9a1f48da51698448206df21db5c95	SHA256	SHA256 hash al fișierului „vcruntime140.dll”
dd9826b41104baba8b0426e070644129b6ded1eee2e1bbacad5a63349801b95d	SHA256	SHA256 hash al fișierului „version.dll”
442cee3a2f53d894ad7b4484636979653c14970aebedde1e6f5bee2943105cc0	SHA256	SHA256 hash al fișierului „Document.pdf”
b2ddf9bb7b062f2734c6d120fd385862f79aa0fefcd42a11b00778e7240ad07d	SHA256	SHA256 hash al fișierului „Images.png”
107.178.110.167:56001–56003	IP și port	C2 server IP
195.201.57.90:443	IP și port	ipwho.is
7414494371:AAHsrQDkPrEVyz9z0RoiRS5fJKI-ihKJpzQ	Token API	Telegram-Tokens (C2 over API)

IMPACT

• Aplicația de tip malware intervine la nivelul proceselor din browser și extrage cookie-uri, token-uri de sesiune și acreditări salvate, permițând acces neautorizat la nivelul conturilor online ale utilizatorului. Aceste date pot fi apoi valorificate pentru a prelua controlul asupra serviciilor de tip e-commerce, email, la nivelul platformelor financiare sau conturilor rețelelor de socializare, fără a necesita o autentificare suplimentară.
• La intervale prestabilite sau la declanșarea anumitor acțiuni, sunt realizate capturi ale ecranului și sunt colectate fișiere, incluzând documente juridice, prezentări și baze de date. Aceste materiale sunt apoi trimise către atacatori prin canalul Telegram, oferindu-le vizibilitate completă asupra activităților și datelor confidențiale ale victimei.
• Componenta purehvnc instalează un server VNC ascuns pe porturi non-standard (56001–56003), permițând atacatorilor să se conecteze la desktop-ul victimei de oriunde. Această accesibilitate continuă facilitează mișcări ulterioare laterale în rețea, escaladări de privilegii și instalarea de noi payload-uri fără a fi detectați rapid.
• Malware-ul modifică în memorie funcția AmsiScanBuffer din dll, forțând-o să returneze un rezultat benign și împiedicând astfel scanarea codului rău intenționat de către AV/EDR. În plus, folosirea CertUtil pentru a decodifica pachetul de date binare Base64, ascunde temporar payload-ul real de sistemele de monitorizare tradiționale.
• În cazul în care victimă utilizează extensii de portofele criptografice, malware-ul identifică și exfiltrează cheile private, oferind atacatorilor acces la fondurile digitale ale utilizatorului. Totodată, prin accesul obținut, atacatorii pot descărca și executa componente de tip ransomware, criptând datele critice și solicitând recompensă pentru deblocare.

Recomandările DNSC sunt următoarele: 

• Evitarea deschiderii atașamentelor suspecte precum fișiere .exe .bat .zip, .rar, .js etc. din e-mailuri necunoscute.
• Utilizarea filtrelor de securitate pentru e-mailuri și blocarea extensiilor periculoase.
• Actualizarea sistemelor de operare și aplicațiilor.
• Segmentarea rețelei pentru a limita răspândirea atacurilor.
• Monitorizarea traficului rețelei și activarea alertelor în cazul activităților suspecte.
• Efectuarea unor pregătiri specifice la nivelul angajaților pentru identificarea mesajelor e-mail de tip phishing.
• Realizarea periodică a unor copii de siguranță a datelor (backup-uri) și stocarea acestora într-un mediu diferit, în scop de protecție împotriva atacurilor de tip ransomware.
• Implementarea, după caz, a unor soluții avansate de securitate, precum cele de tip Sandbox și cele pentru prevenirea pierderii datelor, de tip DLP (Data Loss Prevention).

 
Pentru mai multe informații și resurse, vă rugăm să vizitați website-ul DNSC.



Citește și:

Antreprenori din România vizați de apeluri false care se folosesc de identitatea DNSC