SpyWindow - strzeż się fałszywych konsultantów banku
Cyberprzestępcy kontaktują się z użytkownikiem telefonicznie i pod pretekstem aktualizacji danych związanych z wprowadzoną dyrektywą PSD2 wysyłają wiadomość email na jego skrzynkę pocztową podczas prowadzonej rozmowy.
![SpyWindow - strzeż się fałszywych konsultantów banku](/content/images/size/w2000/2019/09/tlo.jpg)
Przestępcy wysyłając wiadomości spam mające na celu zainfekowanie komputerów wielu użytkowników nie dobierają dokładnie swoich ofiar, a robią to raczej w sposób losowy licząc, że skala ataku przyniesie oczekiwany rezultat. Inaczej sprawa ma się w najnowszym ataku. Przestępcy wybierają za swój cel konkretną osobę. Przestępcy kontaktują się z użytkownikiem telefonicznie i pod pretekstem aktualizacji danych związanych z wprowadzoną dyrektywą PSD2 wysyłają wiadomość email na jego skrzynkę pocztową podczas prowadzonej rozmowy.
Schemat ataku
Poniżej przedstawiamy schemat ataku przestępców za pomocą złośliwego oprogramowania SpyWindow.
![schemat_ataku](/content/images/2019/09/schemat_ataku.jpg)
![demo_mejl_pub](/content/images/2019/09/demo_mejl_pub.jpg)
![plik](/content/images/2019/09/plik.jpg)
![PUB_schemat-2-1](/content/images/2019/09/PUB_schemat-2-1.jpg)
W pierwszym kroku otwierany zostaje dokument PDF z rzekomą informacją z banku. Jest on rozmyty i tym samym nieczytelny. Dokument ten jest zapisywany przez malware na dysku komputera. Na nim wyświetlane są kolejno okna, które wymagają wprowadzenia loginu i hasła, a także kodu autoryzacyjnego.
![screen-1](/content/images/2019/09/screen-1.jpg)
![screen-2](/content/images/2019/09/screen-2.jpg)
![screen-3](/content/images/2019/09/screen-3.jpg)
![screen-4](https://www.sirt.pl/content/images/2019/09/screen-4.jpg)
![screen-5](/content/images/2019/09/screen-5.jpg)
Działanie SpyWindow
Malware SpyWindow po uruchomieniu tworzy pliki BATCH, które mają za zadanie usunąć ślady ataku. Tworzone są 3 pliki o nazwach Windows32Script.bat, Windows64Script.bat oraz Windows128Script.bat. Plik Windows32Script.bat jest uruchamiany niezwłocznie po wyświetleniu ostatniego okna dialogowego informującego o pomyślnym złożeniu elektronicznego podpisu. Pozostałe pliki mają za zadanie usunąć same siebie oraz zawartość katalogu Obrazy.
![PUB_code_1](https://www.sirt.pl/content/images/2019/09/PUB_code_1.jpg)
![Pliki](/content/images/2019/09/Pliki.jpg)
SpyWindow po uruchomieniu pobiera również 2 pliki PDF o nazwach Bank-Niezalogowany-Dokument.pdf oraz Bank-Zalogowany-Dokument.pdf, które są wykorzystywane podczas wyłudzania danych logowania oraz kodów autoryzacyjnych. Uruchomienie utworzonych plików odbywa się przez harmonogram zadań. Zadania są również tworzone wraz z plikami BATCH. Ich nazwy oraz opisy mają sugerować, że dotyczą aktualizacji systemu.
![harmonogram_zadan](/content/images/2019/09/harmonogram_zadan.jpg)
Malware tworzy wpisy w rejestrze mające zabezpieczyć program przed ponownym uruchomieniem. Testy wykazały, że funkcjonalność ta nie działa poprawnie. Ponadto, SpyWindow zapisuje w rejestrach również informacje o ścieżce uruchomienia malware, nazwie użytkownika, nazwie komputera oraz publicznym adresie IP.
![registry](/content/images/2019/09/registry.jpg)
![PUB_code_2](/content/images/2019/09/PUB_code_2.jpg)
Podsumowanie
Schemat ataku z wykorzystaniem malware SpyWindow jest nowy, a przestępcy ciągle pracują nad poprawą jego działania. Poszczególne wersje SpyWindow są przygotowywane do ataku na klienta konkretnego banku. Otrzymując telefon z banku informujący o ważnym dokumencie przesłanym na pocztę należy zweryfikować wiarygodność osoby dzwoniącej jak i samej wiadomości.
Ślady świadczące o infekcji złośliwym oprogramowaniu SpyWindow:
- Pliki z rozszerzeniem .bat oraz pliki PDF o nazwach Bank-Niezalogowany-Dokument.pdf oraz Bank-Zalogowany-Dokument.pdf w katalogu Obrazy: C:\Users\uzytkownik\Pictures
- Wpisy w rejestrze systemu Windows: Komputer\HKEY_CURRENT_USER\Software\Solutions
- Wpisy w Harmonogramie zadań o nazwie Aktualizacja (Opis: Zarzadzanie aktualizacjami windows), które w zakładce Akcja zawierają ścieżkę do uruchomienia pliku .bat znajdującego się w katalogu Obrazy