Департамент киберполиции Национальной полиции Украины заявил, что вирусная атака на украинские компании возникла из-за программы для отчетности и документооборота «M.E.doc».
По предварительным данным киберкопов, это программное обеспечение имеет встроенную функцию обновления, которая периодически обращается к серверу: «upd.me-doc.com.ua» (92.60.184.55) с помощью User Agent «medoc1001189».
Обновления имеет хэш dba9b41462c835a4c52f705e88ea0671f4c72761893ffad79b8348f57e84ba54, большинство легитимных обращений к серверу равны примерно 300 байтам. Сегодня утром, в 10:30 по киевскому времени, программа M.E.doc. была обновлена, апдейт составил примерно 333 кБ, после его загрузки происходили следующие действия:
- создан файл rundll32.exe;
- обращение к локальным IP-адресам на порт 139 TCP и порт 445 TCP;
- создан файл perfc.bat;
- запуск cmd.exe с командой /c schtasks /RU «SYSTEM» /Create /SC once /TN «» /TR «C:\Windows\system32\shutdown.exe /r /f» /ST 14:35”;
- создан файл ac3.tmp (02ef73bd2458627ed7b397ec26ee2de2e92c71a0e7588f78734761d8edbdcd9f) и осуществлен его запуск;
- создан файл dllhost.dat.
В дальнейшем вредоносное программное обеспечение распространялось с помощью уязвимости в протоколе Samba, которая также использовалась во время атаки шифровальщика WannaCry.
Киберполиция Украины рекомендует временно не применять обновления, которые предлагает программное обеспечение «M.E.doc.» при запуске.
Также украинские киберкопы отметили, что заражение чезер M.E.doc не стало единственным вектором атаки, среди способов распространения зловреда также фиксировался фишинг.
