Emotet kötü amaçlı yazılımı artık Microsoft OneNote e-posta ekleri kullanılarak dağıtılıyor ve amacı Microsoft güvenlik kısıtlamalarını aşmak ve daha fazla hedefi etkilemek.
Emotet, geçmişte kötü amaçlı makrolar içeren Microsoft Word ve Excel ekleri aracılığıyla dağıtılan kötü şöhretli bir kötü amaçlı yazılım botnet’idir. Bir kullanıcı eki açar ve makroları etkinleştirirse, Emotet kötü amaçlı yazılımını cihaza yükleyen bir DLL indirilir ve yürütülür.
Kötü amaçlı yazılım yüklendikten sonra, gelecekteki spam kampanyalarında kullanılmak üzere e-posta kişilerini ve e-posta içeriğini çalacaktır. Ayrıca şirket ağına ilk erişimi sağlayan diğer yükleri de indirecektir.
Bu erişim, şirkete karşı fidye yazılımı saldırıları, veri hırsızlığı, siber casusluk ve şantaj gibi siber saldırılar gerçekleştirmek için kullanılır.
Emotet, geçmişte en çok dağıtılan kötü amaçlı yazılımlardan biriyken, geçtiğimiz yıl boyunca duracak ve art arda başlayacak ve nihayetinde 2022’nin sonlarına doğru ara verecekti.
Üç aylık hareketsizliğin ardından, Emotet botnet aniden yeniden açıldı ve bu ayın başlarında dünya çapında kötü amaçlı e-postalar yaydı.
Ancak, Word ve Excel belgelerini makrolarla kullanmaya devam ettiği için bu ilk kampanya kusurluydu. Microsoft artık e-postalara eklenenler de dahil olmak üzere indirilen Word ve Excel belgelerindeki makroları otomatik olarak engellediğinden, bu kampanya yalnızca birkaç kişiyi etkileyecektir.
Bu nedenle BleepingComputer, Emotet’in Microsoft makroları engellemeye başladıktan sonra kötü amaçlı yazılım dağıtmak için popüler bir yöntem haline gelen Microsoft OneNote dosyalarına geçeceğini tahmin etti.
Emotet, Microsoft OneNote’a geçer
Tahmin edildiği gibi, bir Emotet spam kampanyasında ilk tespit edilen güvenlik araştırmacısı tarafından habiltehdit aktörleri artık kötü amaçlı Microsoft OneNote eklerini kullanarak Emotet kötü amaçlı yazılımını dağıtmaya başladı.
Bu ekler, kılavuzları, nasıl yapılırları, faturaları, iş referanslarını ve daha fazlasını taklit eden yanıt zinciri e-postalarında dağıtılır.
E-postaya, belgenin korunduğunu belirten bir mesaj görüntüleyen Microsoft OneNote belgeleri eklenir. Ardından, belgeyi düzgün bir şekilde görüntülemek için ‘Görüntüle’ düğmesine çift tıklamanızı ister.
Microsoft OneNote, katıştırılmış bir belgeyi kaplayan tasarım öğeleri içeren belgeler oluşturmanıza olanak tanır. Ancak gömülü dosyanın bulunduğu konuma çift tıkladığınızda üzerinde bir tasarım öğesi olsa bile dosya başlatılacaktır.
Bu Emotet kötü amaçlı yazılım kampanyasında, tehdit aktörleri aşağıda gösterildiği gibi “click.wsf” adlı kötü amaçlı bir VBScript dosyasını “Görüntüle” düğmesinin altına gizlemiştir.
Bu VBScript, uzak, muhtemelen güvenliği ihlal edilmiş bir web sitesinden bir DLL indiren ve ardından onu yürüten, oldukça karmaşık bir komut dosyası içerir.
Microsoft OneNote, bir kullanıcı OneNote’ta katıştırılmış bir dosyayı başlatmaya çalıştığında bir uyarı görüntülerken, tarih bize birçok kullanıcının uyarıdan kurtulmak için genellikle ‘Tamam’ düğmelerini tıkladığını göstermiştir.
Kullanıcı Tamam düğmesini tıklarsa, katıştırılmış click.wsf VBScript dosyası, OneNote’un Temp klasöründeki WScript.exe kullanılarak yürütülür ve bu muhtemelen her kullanıcı için farklı olacaktır:
"%Temp%\OneNote\16.0\Exported\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf"
Betik daha sonra Emotet kötü amaçlı yazılımını bir DLL olarak indirecektir. [VirusTotal] ve aynı Temp klasöründe saklayın. Daha sonra regsvr32.exe’yi kullanarak rastgele adlı DLL dosyasını başlatır.
Emotet artık cihazda sessizce çalışacak, e-postaları, kişileri çalacak ve komuta ve kontrol sunucusundan başka komutlar bekleyecektir.
Bu kampanyanın nihai olarak hangi yükleri düşürdüğü bilinmemekle birlikte, genellikle Cobalt Strike veya diğer kötü amaçlı yazılımların yüklenmesine yol açar.
Bu yükler, Emotet ile çalışan tehdit aktörlerinin cihaza erişmesine ve onu ağda daha fazla yayılmak için bir sıçrama tahtası olarak kullanmasına olanak tanır.
Kötü amaçlı Microsoft OneNote belgelerini engelleme
Microsoft OneNote, bu ekleri kullanan birden çok kötü amaçlı yazılım kampanyasıyla büyük bir kötü amaçlı yazılım dağıtım sorunu haline geldi.
Bu nedenle Microsoft, kimlik avı belgelerine karşı OneNote’a gelişmiş korumalar ekleyecek, ancak bunun herkesin kullanımına sunulacağı belirli bir zaman çizelgesi yok.
Ancak Windows yöneticileri, kötü amaçlı Microsoft OneNote dosyalarına karşı koruma sağlamak için grup ilkelerini yapılandırabilir.
Yöneticiler, Microsoft OneNote’taki katıştırılmış dosyaları tamamen engellemek veya çalışmasının engellenmesi gereken belirli dosya uzantılarını belirtmenize izin vermek için bu grup ilkelerini kullanabilir.
BleepingComputer’ın bu ayın başlarında yazdığı özel bir makalede mevcut grup ilkeleri hakkında daha fazla bilgi edinebilirsiniz.
Microsoft, OneNote’a daha fazla koruma ekleyene kadar Windows yöneticilerinin bu seçeneklerden birini kullanmaları önemle önerilir.