woensdag 15 oktober 2014

Nederland doelwit CryptoLocker campagne

Sinds enkele dagen is een CryptoLocker malware campagne bij RedSocks op de radar verschenen. Op diverse fora word melding gemaakt van een spam campagne lijkend afkomstig van PostNL. Deze spam bevat diverse linkjes naar verschillende domeinen welke uiteindelijk allen uitkomen bij de domeinen postnl-track.com, postnl-track.info, postnl-track.org, postnl-track.net of postnl-tracktrace.com. Via deze domeinen word getracht de bezoeker met de CryptoLocker malware te infecteren.

Niets vermoedende gebruikers ontvangen een mail van PostNL.


In deze mail word men vaak aangesproken via voornaam en achternaam. Ook wanneer voornaam en achternaam niet direct uit het email adres zijn op te maken. Dit suggereert dat de aanvallers beschikking hebben over een database welke tenminste Naam, Voornaam en bijbehorend Email adres bevatten.
Hoewel de mail niet in volledig correct Nederlands is opgesteld, gaat het slechts om enkele foutjes die snel over het hoofd gezien kunnen worden.

De CryptoLocker malware versleuteld alle op het systeem aanwezig documenten en bestanden en vraagt een bedrag om deze bestanden weer te kunnen ontsleutelen. Inmiddels hebben tenminste 18 personen dit bedrag ter waarde van €3484 betaald, en dit loopt snel op!

Hieronder een beschrijving over hoe de besmetting plaats vind:

Het niets vermoedende slachtoffer heeft enkele documenten op de computer staan:


De spam mail word ontvangen en er word op de link in het mailtje geklikt, de volgende pagina verschijnt:


Er dient een code te worden ingevoerd waarna de informatie over uw pakket kan worden gedownload. Wanneer de code word ingevoerd start de download van een .zip bestand.


In dit zip bestand zit een executable file met de naam track_[nummer].exe. Iedere executable is uniek en heeft een eigen md5 hash waarde.


Het bestand beweert Google Chrome te zijn, afkomstig van het bedrijf Google Inc.
Wanneer dit bestand word geopend verschijnt de volgende pagina:

Wanneer vervolgens de bestanden op het bestandssysteem worden bekeken is het volgende te zien:


Alle bestanden zijn voorzien van de extensie .encrypted en kunnen niet meer worden geopend.
Om de encryptie ongedaan te maken moet er zoals op onderstaande pagina word beschreven, betaald worden.

Zoals al eerder vermeld hebben minimaal 18 personen geld betaald om van deze CryptoLocker af te kunnen komen. De bende hierachter heeft van deze slachtoffers op dit moment €3484 euro aan bitcoins binnen gehaald.


4 opmerkingen: