Fałszywy dokument przewozowy - Purelogs Stealer realnym zagrożeniem
Purelogs Stealer znów atakuje Polskę w kampaniach spamowych, udoskonalając metody omijania zabezpieczeń. Tym razem niepozorny plik Excela, udający dokument przewozowy, uruchamia wieloetapowy i silnie zaciemniony łańcuch infekcji.
Złośliwe oprogramowanie typu "infostealer" pozostaje jednym z najbardziej lukratywnych narzędzi w arsenale cyberprzestępców, a kradzież lokalnych danych uwierzytelniających to często dopiero wstęp do poważniejszych incydentów. W przypadku kampanii dystrybuującej Purelogs Stealer, napastnicy zadbali o to, by ich ładunek pozostał w ukryciu tak długo, jak to możliwe. Zamiast standardowych makr, wykorzystano nadużycia mechanizmów linkowania OLE (Object Linking and Embedding), wielowarstwowe zaciemnianie kodu (w tym maskowanie adresów IP i ukrywanie logiki skryptów za pomocą niestandardowych znaków), aby ostatecznie uruchomić złośliwy kod bezpośrednio w przestrzeni pamięci własnego procesu (in-memory execution).
Analiza pliku BL_MEDUYL732823 .xls
Plik BL_MEDUYL732823.xls pełni rolę pierwszego ogniwa infekcji, downloadera dostarczanego w kampanii spamowej o tematyce handlowo‑transportowej (nazwa „BL” sugeruje Bill of Lading, a osadzona grafika udaje kontrakt sprzedaży). Widoczna treść arkusza to wyłącznie wabik, nic nieznaczący rejestr doręczeń pocztowych. Zadaniem dokumentu jest niepostrzeżenie wykonać złośliwy kod przy otwarciu i pobrać kolejny etap ataku.
Wektorem nie są makra, lecz osadzony obiekt OLE. W strukturze pliku program oledir wykrył linkowany obiekt zewnętrzny, którego obecność jest charakterystyczna dla rodziny podatności nadużywających mechanizmu linkowania OLE w pakiecie Office (m.in. CVE‑2017‑0199). Po otwarciu dokumentu na niezaktualizowanym Office 2010, obiekt ten odwoływał się do zdalnego adresu URL i pobierał payload serwowany jako plik HTA.
Adres docelowy znajduje się w wewnętrznej strukturze tego obiektu, zapisany jako ukryty odnośnik URL. Po wyodrębnieniu tych danych i odczytaniu ciągów znaków ujawnił się link, w którym host został celowo zaciemniony - zapisany jako liczba ósemkowa 00000025475350624 zamiast standardowego adresu w postaci kropkowej. Rozkodowanie tej wartości wskazuje na adres IP 172.245.209[.]148, co można łatwo zweryfikować za pomocą polecenia ping. Pozwala to zrekonstruować pełną ścieżkę ataku, od osadzonego obiektu OLE, przez ukryte odwołanie, aż po docelowy serwer dystrybuujący złośliwy ładunek. W ruchu sieciowym serwer odpowiadał na początkowe żądanie kodem HTTP 301 Moved Permanently, przekierowując ruch najpierw do pośredniczącej domeny al4[.]dev (wymuszając użycie HTTPS). Domena ta pełni jedynie funkcję bramki, która odsyła z powrotem na adres źródłowy, skąd ostatecznie pobierany jest właściwy plik goodgenerationforbestnetworkingskilltogetme.hta.
