Вот новые спам-кампании Emotet, которые попадают в почтовые ящики по всему миру

12
Электронная почта IKEA подверглась постоянной кибератаке

Вредоносная программа Emotet начала действовать вчера после десятимесячного перерыва в проведении многочисленных спам-кампаний, доставляющих вредоносные документы в почтовые ящики по всему миру.

Emotet — это вредоносное ПО, которое распространяется через спам-кампании с вредоносными вложениями. Если пользователь откроет вложение, вредоносные макросы или JavaScript загрузят Emotet DLL и загрузят ее в память с помощью PowerShell.

После загрузки вредоносная программа будет искать и красть электронные письма для использования в будущих спам-кампаниях и сбрасывать дополнительные полезные данные, такие как TrickBot или Qbot, которые обычно приводят к заражению программами-вымогателями.

Спам Emotet снова начинается

Вчера вечером исследователь кибербезопасности Брэд Дункан опубликовал дневник обработчика SANS о том, как ботнет Emotet начал рассылать спам в нескольких кампаниях по электронной почте с целью заражения устройств вредоносным ПО Emotet.

По словам Дункана, спам-кампании используют электронные письма с цепочкой воспроизведения, чтобы побудить получателя открыть прикрепленные вредоносные файлы Word, Excel и защищенные паролем ZIP-файлы.

Фишинговые письма с цепочкой ответов — это когда ранее украденные цепочки писем используются с поддельными ответами для распространения вредоносного ПО среди других пользователей.

В образцах, предоставленных Дунканом, мы видим, что Emotet использует цепочки ответов, связанные с «пропавшим кошельком», распродажей CyberMonday, отмененными встречами, политическими пожертвованиями и прекращением стоматологической страховки.

К этим электронным письмам прикрепляются документы Excel или Word с вредоносными макросами или защищенный паролем вложения ZIP-файл, содержащий вредоносный документ Word.

В настоящее время в рамках новых спам-кампаний Emotet распространяются два разных вредоносных документа.

Первый — это шаблон документа Excel, в котором указано, что документ будет работать только на настольных или портативных компьютерах и что пользователю необходимо нажать «Включить содержимое» для правильного просмотра содержимого.

Вредоносное вложение Word использует шаблон «Red Dawn» и сообщает, что, поскольку документ находится в «Защищенном» режиме, пользователи должны разрешить контент и редактирование для его правильного просмотра.

Как вложения Emotet заражают устройства

Когда вы открываете вложения Emotet, в шаблоне документа будет указано, что предварительный просмотр недоступен и что вам нужно нажать «Разрешить редактирование» и «Разрешить контент» для правильного просмотра контента.

Однако, как только вы нажмете на эти кнопки, будут включены вредоносные макросы, которые запускают команду PowerShell для загрузки DLL-загрузчика Emotet со скомпрометированного сайта WordPress и сохранения ее в папке C: \ ProgramData.

После загрузки DLL будет запущена с использованием C: \ Windows \ SysWo64 \ rundll32.exe, который скопирует DLL в случайную папку в% LocalAppData%, а затем повторно запустит DLL из этой папки.

Через некоторое время Emotet настроит значение запуска в HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run для запуска вредоносной программы при запуске Windows.

Вредоносная программа Emotet теперь будет незаметно работать в фоновом режиме, ожидая выполнения команд со своего сервера управления и контроля.

Эти команды могут быть предназначены для поиска электронной почты для кражи, распространения на другие компьютеры или установки дополнительных полезных данных, таких как трояны TrickBot или Qbot.

Защита от Emotet

Организация Abuse.ch, занимающаяся мониторингом вредоносных программ и ботнетов , опубликовала список из 245 серверов управления и контроля, которые брандмауэры периметра могут блокировать для предотвращения связи с серверами управления и контроля.

Блокирование связи с C2 также не позволит Emotet сбрасывать дальнейшие полезные данные на скомпрометированных устройствах.

В январе 2021 года международная правоохранительная операция отключила ботнет Emotet , и в течение десяти месяцев вредоносное ПО не было активным.

Однако, начиная с вечера воскресенья, активные заражения TrickBot начали сбрасывать загрузчик Emotet на уже зараженные устройства, восстанавливая ботнет для рассылки спама.

Возвращение Emotet — важное событие, за которым все сетевые администраторы, специалисты по безопасности и администраторы Windows должны следить за новыми разработками.

В прошлом Emotet считался наиболее распространенным вредоносным ПО и имеет хорошие шансы восстановить прежний рейтинг.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here