Přeskočit na obsah

Emotet: Vyhýbá se zabezpečení maker prostřednictvím příloh OneNote

Notoricky známý malware Emotet, který se po krátké přestávce vrátil, je nyní distribuován prostřednictvím e-mailových příloh Microsoft OneNote ve snaze obejít bezpečnostní omezení založená na makrech a kompromitovat systémy.

Emotet, spojený s hrozbami sledovanými jako Gold Crestwood, Mummy Spider nebo TA542, je i nadále silnou a odolnou hrozbou navzdory pokusům orgánů činných v trestním řízení ji odstranit.

Derivát bankovního červa Cridex – který byl následně nahrazen Dridexem zhruba ve stejnou dobu, kdy byl v roce 2014 přerušen GameOver Zeus – Emotet se vyvinul v „monetizovanou platformu pro další aktéry hrozeb, aby mohli spouštět škodlivé kampaně na základě platby za instalaci (PPI ) – model umožňující krádež citlivých dat a vydírání výkupného“.

Zatímco infekce Emotet fungovaly jako prostředník pro dodávání Cobalt Strike, IcedID, Qakbot, Quantum ransomware a TrickBot, jeho návrat na konci roku 2021 byl usnadněn pomocí TrickBot.

“Emotet je známý dlouhou dobou nečinnosti, která se často vyskytuje několikrát za rok, kdy botnet udržuje stabilní stav, ale nedoručuje spam nebo malware,” uvádí Secureworks.

Malware typu dropper je běžně distribuován prostřednictvím spamových e-mailů obsahujících škodlivé přílohy. Ale s tím, jak Microsoft podniká kroky k blokování maker ve stažených souborech Office, přílohy OneNotu se ukázaly jako atraktivní alternativní cesta.

“Soubor OneNote je jednoduchý, ale přesto účinný pro uživatele sociálního inženýrství s falešným oznámením, že dokument je chráněn,” uvedla Malwarebytes v novém upozornění. “Když dostanete pokyn poklepat na tlačítko Zobrazit, oběti nechtěně dvakrát kliknou na soubor vloženého skriptu.”

Windows Script File (WSF) je navržen tak, aby načítal a spouštěl binární datovou část Emotetu ze vzdáleného serveru. Podobná zjištění zopakovaly Cyble, IBM X-Force a Palo Alto Networks Unit 42.

To znamená, že Emotet stále pokračuje v používání nastražených dokumentů obsahujících makra k doručování škodlivého nákladu, přičemž využívá návnady sociálního inženýrství, aby nalákali uživatele, aby umožnili makrům aktivovat útočný řetězec.

Podle četných zpráv od společností Cyble, Deep Instinct, Hornetsecurity a Trend Micro bylo pozorováno, že takové dokumenty využívají techniku zvanou dekompresní bomba k ukrytí velmi velkého souboru (přes 550 MB) v přílohách archivu ZIP, aby proletěly pod radarem.

Toho je dosaženo vložením 00 bajtů na konec dokumentu, aby se uměle zvětšila velikost souboru tak, aby překročila omezení stanovená antimalwarovými řešeními.

Nejnovější vývoj je známkou flexibility a hbitosti operátorů při přepínání typů příloh pro počáteční dodání, aby se vyhnuli detekčním podpisům. Přichází také uprostřed prudkého nárůstu aktérů hrozeb, kteří používají dokumenty OneNote k distribuci široké škály malwaru, jako jsou AsyncRAT, Icedid, RedLine Stealer, Qakbot a XWorm.

Podle Trellixu byla většina škodlivých detekcí OneNote v roce 2023 hlášena v USA, Jižní Koreji, Německu, Saúdské Arábii, Polsku, Indii, Spojeném království, Itálii, Japonsku a Chorvatsku, s výrobou, high-tech, telekomunikacemi, financemi a energetikou jako hlavními cílenými sektory.

Zdroj: thehackernews.com

Zdroj: IT SECURITY NETWORK NEWS

Zdroj: ICT NETWORK NEWS

Generated by Feedzy