MKD-CIRT National Centre for Computer Incident Response
Emotet малвер операцијата повторно спамува малициозни е-пошти од вторник наутро по тримесечна пауза, обновувајќи ја својата мрежа и заразувајќи ги уредите ширум светот.
Emotet е малициозен софтвер дистрибуиран преку е-пошта што содржи малициозни прилози за Microsoft Word и Excel документи. Кога корисниците ги отвораат овие документи и се овозможени макроата, Emotet DLL ќе се преземе и ќе се вчита во меморијата.
Откако ќе се вчита Emotet, малициозниот софтвер ќе седи тивко, чекајќи инструкции од далечинскиот сервер за команди и контрола.
На крајот, малициозниот софтвер ќе ги украде е-поштата и контактите на жртвите за употреба во идните кампањи на Emotet или ќе преземе дополнителни payloads како што е Cobalt Strike или друг малициозен софтвер што вообичаено води до ransomware напади.
И покрај тоа што Emotet се сметаше за најдистрибуиран малициозен софтвер во минатото, тој постепено се успори, а неговата последна спам операција беше забележана во ноември 2022 година. Сепак, дури и тогаш, спамирањето траеше само две недели.
Денес, фирмата за сајбер безбедност Cofense и групата за следење на Emotet Cryptolaemus предупредија дека Emotet ботнетот повторно продолжува со испраќање е-пошта.
„Од 1200UTC Иван конечно доби E4 за испраќање спам. Гледаме шаблони на Red Dawn кои се многу големи кои доаѓаат со над 500 MB. Моментално гледаме пристоен проток на спам. Септет од URL-адреси за payload и макроа“, твитна Cryptolaemus.
Cofense, исто така, потврди за BleepingComputer дека спам кампањата започнала во 7:00 часот по ET, а моменталниот волумен останал низок.
„Првата е-пошта што ја видовме беше околу 7 часот наутро по EST. Јачината на звукот во овој момент останува ниска бидејќи тие продолжуваат да се обновуваат и собираат нови акредитиви за да ги користат и адресите за цел“, изјави Confense за BleepingComputer.
Наместо да користат reply – chain е-пошти како во претходната кампања, хакерите користат е-пошти што наликуваат на фактури.
Кон овие е-пораки се прикачени ZIP архиви кои содржат Word документи со големина од над 500 MB. Тие се пополнети со неискористени податоци за да ги направат датотеките поголеми и потешки за антивирусните решенија да ги скенираат и да ги детектираат како малициозни.
Овие Microsoft Word документи го користат „Red Dawn“ шаблонот за документи на Emotet, што ги поттикнува корисниците да мислат дека содржината на документот е правилна.
Овие документи содржат голем број макроа што ќе го преземат Emotet вчитувачот како DLL од компромитирани сајтови, од кои се хакирани многу WordPress блогови.
Кога ќе се преземе, Emotet ќе се зачува во папка со случајно име под %LocalAppData% и ќе се стартува со regsvr32.exe.
Како и Word документот, Emotet DLL е исто така пополнет со 526 MB за да се спречи можноста да се открие како малициозен од антивирусен софтвер.
Оваа техника покажува успех, како што е илустрирано во VirusTotal scan каде што малициозниот софтвер е откриен само од еден безбедносен продавач, при што тој продавач го открива само како „Malware.SwollenFile“.
Откако ќе се активира, малициозниот софтвер ќе работи во позадина, чекајќи команди, кои најверојатно ќе инсталираат дополнителни payloads на уредот.
Овие напади вообичаено водат до кражба на податоци и до целосни ransomware напади на пробиени мрежи.
Cofense изјави дека сега не забележале отфрлени дополнителни payloads, а малициозниот софтвер само собира податоци за идните спам кампањи.
Додека Emotet ја обновува својата мрежа, сегашниот метод можеби нема да има голем успех по неодамнешните промени од страна на Microsoft.
Во јули 2022 година, Microsoft конечно ги оневозможи макроата стандардно во Microsoft Office документите преземени од Интернет.
Поради оваа промена, корисниците кои отвораат Emotet документ ќе бидат пречекани со порака во која се наведува дека макроата се оневозможени бидејќи изворот на датотеката не е доверлив.
Постариот аналитичар за ранливост на ANALYGENCE, Will Dormann, за BleepingComputer изјави дека оваа промена влијае и на прилозите зачувани од е-пошта.
За повеќето корисници кои примаат Emotet е-пораки, оваа функција најверојатно ќе ги заштити од погрешно овозможување макроа освен ако не вложат заеднички напори да ги овозможат.
Оваа промена ги натера другите хакери да се оддалечат од Word и Excel документите и да злоупотребуваат други формати на датотеки, како што се Microsoft OneNote, ISO сликите и JS-датотеките.
Не би било изненадувачки ако Emotet премине на различни типови прикачувања откако оваа почетна кампања не оди како што е замислено.
Извор: BleepingComputer
