Under gårdagskvällen och natten så har det kommit ett större utskick utav mejl innehållande ett skadligt Word-dokument.

Om användaren öppnar detta Word-dokument så kommer följande fråga upp (se nedan), klickar användaren på ”Yes” så laddas en .exe-fil ner via Powershell och exekveras på klienten.

Mejlet har subjekt:
Scan Data

Avsändare är anpassat till de egna domänerna och likna dessa.
scanner@*domän*
no-reply@*domän*
noreply@*domän*
copier@*domän*
documents@*domän*

Filnamnet: Scan_*siffor*

IOC

Den exekverbara filen som laddas hem med hjälp av Word-dokumentet kommer från följande IP-adresser
212.220.124.226
85.17.104.144
hxxp://bunder[.]nl/JHhdg33
hxxp://aurea-art[.]ru/incrHG32

Efter exekvering utav filen så kontaktas följande adresser
34.236.147.16
78.24.8.144
hxxp://celebrityonline[.]cz/UYTf43f.enc
hxxp://toundlefa[.]net/

Wordfilen som vi analyserade har följande hashvärde
SHA1: 09a4168b7fdb46d7c40f30526e8fb7542e0d2895

Exe-filen som laddas hem från Word-dokumentet har följande filnamn när vi körde den
theyweare64.exe
SHA1: 31b6d2790cda2b42266f77d961c0c2454fdc9ab0

Information om filen från Virustotal
https://www.virustotal.com/#/file/080ac80aa4da28f59ba7c5726dfd44f1118f1b11490147a2080992517813bccf/detection

Anders Gunnarsson
Security Analyst