SHARE
TWEET

2017-09-08 Locky "Emailed Invoice"

Racco42 Sep 8th, 2017 447 Never
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
  1. 2017-09-08: #locky email phishing campaign "Emailed Invoice"
  2.  
  3. Email sample:
  4. ----------------------------------------------------------------------------------------------------------------
  5. From: Amy Hendry <Amy@[REDACTED]>
  6. To: [REDACTED]
  7. Subject: Emailed Invoice - 957389
  8. Date: Fri, 08 Sep 2017 21:46:55 +1100
  9.  
  10. As requested
  11.  
  12. regards
  13. Amy Hendry
  14.  
  15. --
  16. Amy Hendry
  17.  
  18. Attachment: I_957389.html
  19. ----------------------------------------------------------------------------------------------------------------
  20. - sender address is forged to come from same domain as recipient
  21. - subject is "Emailed Invoice - <6 digits>"
  22. - attached HTML file "I_<6 digits>.html" contains an iframe which will contact and download another iframe HTML from one of the following sites:
  23.  
  24. Second stage  URLs:
  25. http://1234max.com/w/li7p.php
  26. http://1234max.co.uk/w/74dn.php
  27. http://1234max.co.uk/w/x16a.php
  28. http://1.babybrain.ru/w/emn2.php
  29. http://admin.pkpsv.ru/w/azn4.php
  30. http://alko812.ru/w/2aua.php
  31. http://ar777.ru/w/5m2y.php
  32. http://ar777.ru/w/k4fa.php
  33. http://ar777.ru/w/magv.php
  34. http://atm-digital.ru/w/bjga.php
  35. http://avtomir2.rbs62.ru/w/9za0.php
  36. http://bip32.1234max.com/w/ezqq.php
  37. http://bip32.1234max.com/w/pv4m.php
  38. http://bitmart.1234max.com/w/auvi.php
  39. http://civ.net-live.ru/w/1tqa.php
  40. http://civ.net-live.ru/w/dfey.php
  41. http://civ.net-live.ru/w/z7bs.php
  42. http://dice.1234max.com/w/12j9.php
  43. http://dp.tor4.biz/w/f9vs.php
  44. http://dvwa.tor4.biz/w/2gtf.php
  45. http://dvwa.tor4.biz/w/4o1a.php
  46. http://dvwa.tor4.biz/w/lqhc.php
  47. http://dyndns.tor4.biz/w/yjqn.php
  48. http://ecers.ru/w/0a0w.php
  49. http://edtrend.ru/w/jah7.php
  50. http://edu.ecers.ru/w/g7u1.php
  51. http://edu.ecers.ru/w/u3b4.php
  52. http://edu.ecers.ru/w/ypp5.php
  53. http://fender-vik1.myjino.ru/w/aqbx.php
  54. http://fender-vik1.myjino.ru/w/v1nz.php
  55. http://holdtime.ru/w/c08h.php
  56. http://ieantonionarinonunchia.edu.co/w/7h28.php
  57. http://isp.mgpu.ru/w/gnv5.php
  58. http://j670175.myjino.ru/w/jcbo.php
  59. http://kancmarkt.ru/w/aiyw.php
  60. http://kancmarkt.ru/w/kgwq.php
  61. http://kancmarkt.ru/w/uhlx.php
  62. http://lum0s.ru/w/63p7.php
  63. http://lum0s.ru/w/ajsx.php
  64. http://lum0s.ru/w/fqax.php
  65. http://lum0s.ru/w/qabw.php
  66. http://mail.tor4.biz/w/oq2d.php
  67. http://martinagebhardt.hu/w/mvmo.php
  68. http://martinagebhardt.hu/w/sjj9.php
  69. http://maxmart.1234max.com/w/dayn.php
  70. http://molapple.ru/w/amwf.php
  71. http://molapple.ru/w/dtc7.php
  72. http://msd.1234max.com/w/dds8.php
  73. http://msd.1234max.com/w/uoqt.php
  74. http://msd.tor4.biz/w/u7j6.php
  75. http://pay.tor4.biz/w/oc9a.php
  76. http://portal.rbs62.ru/w/6tn8.php
  77. http://portal.rbs62.ru/w/bnsq.php
  78. http://ptr-spb.ru/w/mp47.php
  79. http://renych.net-live.ru/w/i0pj.php
  80. http://rp.holdtime.ru/w/sc5x.php
  81. http://secure.tor4.biz/w/6qss.php
  82. http://secure.tor4.biz/w/uaii.php
  83. http://se.tor4.biz/w/29a4.php
  84. http://sptorgsib.ru/w/h1yg.php
  85. http://sptorgsib.ru/w/whil.php
  86. http://test.holdtime.ru/w/l6ma.php
  87. http://test.holdtime.ru/w/p5xs.php
  88. http://tor4.biz/w/tk29.php
  89. http://triumf.rbs62.ru/w/evxq.php
  90. http://triumf.rbs62.ru/w/juui.php
  91. http://umo.holdtime.ru/w/qxu6.php
  92. http://urstab.ru/w/29hp.php
  93. http://visa-sport.ru/w/4kym.php
  94. http://visa-sport.ru/w/twfw.php
  95. http://visa-sport.ru/w/wb73.php
  96. http://webdesign.1234max.com/w/7mls.php
  97. http://xn--80aejodxeccws.xn--p1ai/w/38bc.php
  98. http://xn--80aejodxeccws.xn--p1ai/w/4y2h.php
  99. http://xn--80aeuctebcuq4n.xn--p1ai/w/ngg6.php
  100. http://xn--b1apaaapcedcasdcidrcji.xn--p1ai/w/xo0v.php
  101.  
  102. These HTMLs again contains iframe that leads to URL which will download a JavaScript file:
  103. http://righparningusetal.net/load.php
  104.  
  105. Javascript will download final malware from:
  106. http://anstudio.it/uqkycdi.exe
  107.  
  108. Malware:
  109. - locky, .lukitus variant
  110. - SHA256: 3315a2d5e721d5651480de71849f677a1a8ee2d4c2d7118053f02c71fb580b23, MD5: 75f0638e40cb937d9a553eb08b57d54c
  111. - VT: https://www.virustotal.com/en/file/3315a2d5e721d5651480de71849f677a1a8ee2d4c2d7118053f02c71fb580b23/analysis/
  112. - HA: https://www.reverse.it/sample/3315a2d5e721d5651480de71849f677a1a8ee2d4c2d7118053f02c71fb580b23?environmentId=100
  113. - C2: POST http://185.67.2.156/imageload.cgi
  114. - config https://pastebin.com/PjHPH0Y0 @James_in_the_box
RAW Paste Data
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy. OK, I Understand
 
Top