Hoạt động của phần mềm độc hại Emotet một lần nữa gửi thư rác các email độc hại sau gần một "kỳ nghỉ" kéo dài 5 tháng chứng kiến ít hoạt động từ hoạt động tội phạm mạng khét tiếng. Emotet là một phần mềm độc hại lây nhiễm được phân phối thông qua các chiến dịch lừa đảo chứa các tài liệu Excel hoặc Word độc hại.
Khi người dùng mở các tài liệu này và bật macro, Emotet DLL sẽ được tải xuống và tải vào bộ nhớ. Sau khi được tải, phần mềm độc hại sẽ tìm kiếm và đánh cắp email để sử dụng trong các chiến dịch thư rác trong tương lai và thả thêm các tải trọng khác như Cobalt Strike hoặc phần mềm độc hại khác thường dẫn đến các cuộc tấn công bằng ransomware.
Trong khi Emotet được coi là phần mềm độc hại được phân phối nhiều nhất trong quá khứ, nó đột nhiên ngừng gửi thư rác vào ngày 13 tháng 6 năm 2022.
Emotet trở lại
Các nhà nghiên cứu từ nhóm nghiên cứu Emotet Cryptolaemus báo cáo rằng vào khoảng 4:00 sáng theo giờ ET ngày 2 tháng 11, hoạt động của Emotet đột nhiên trở nên sống động trở lại, gửi thư rác các địa chỉ email trên toàn thế giới.
Nhà nghiên cứu mối đe dọa Proofpoint và thành viên Cryptolaemus, Tommy Madjar, nói với BleepingComputer rằng các chiến dịch email Emotet ngày nay đang sử dụng chuỗi trả lời email bị đánh cắp để phân phối các tệp đính kèm Excel độc hại.
Từ các mẫu được tải lên VirusTotal, BleepingComputer đã thấy các tệp đính kèm nhắm mục tiêu đến người dùng trên toàn thế giới dưới nhiều ngôn ngữ và tên tệp khác nhau, giả vờ là hóa đơn, quét, biểu mẫu điện tử và các mồi khác.
Danh sách một phần tên tệp ví dụ có thể được nhìn thấy bên dưới:
Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls
Chiến dịch Emotet hôm nay cũng giới thiệu một mẫu tệp đính kèm Excel mới có chứa các hướng dẫn để bỏ qua Dạng xem được Bảo vệ của Microsoft.
Khi một tệp được tải xuống từ Internet, bao gồm cả dưới dạng tệp đính kèm email, Microsoft sẽ thêm cờ Mark-of-the-Web (MoTW) đặc biệt vào tệp.
Khi người dùng mở tài liệu Microsoft Office có chứa cờ MoTW, Microsoft Office sẽ mở nó trong Dạng xem được Bảo vệ, ngăn các macro cài đặt phần mềm độc hại được thực thi.
Tuy nhiên, trong tệp đính kèm Emotet Excel mới, bạn có thể thấy rằng các tác nhân đe dọa đang hướng dẫn người dùng sao chép tệp vào các thư mục 'Mẫu' đáng tin cậy, vì làm điều này sẽ bỏ qua Chế độ xem được bảo vệ của Microsoft Office, ngay cả đối với các tệp có chứa cờ MoTW.
"RELAUNCH REQUIRED In accordance with the requirements of your security policy, to display the contents of the document, you need to copy the file to the following folder and run it again:
for Microsoft Office 2013 x32 and earlier - C:\Program Files\Microsoft Office (x86)\Templates
for Microsoft Office 2013 x64 and earlier - C:\Program Files\Microsoft Office\Templates
for Microsoft Office 2016 x32 and later - C:\Program Files (x86)\Microsoft Office\root\Templates
for Microsoft Office 2016 x64 and later - C:\Program Files\Microsoft Office\root\Templates"Mặc dù Windows sẽ cảnh báo người dùng rằng việc sao chép tệp vào thư mục 'Mẫu' yêu cầu quyền của 'quản trị viên', nhưng việc người dùng đang cố gắng sao chép tệp cho thấy rằng rất có thể họ cũng sẽ nhấn nút 'Tiếp tục'.
Sau khi tải xuống, phần mềm độc hại sẽ lặng lẽ chạy trong nền trong khi kết nối với máy chủ Command and Control để được hướng dẫn thêm hoặc để cài đặt các tải trọng bổ sung.
Madjar nói với Thehackervn rằng nhiễm trùng Emotet ngày nay đã không bắt đầu giảm tải trọng phần mềm độc hại bổ sung trên các thiết bị bị nhiễm.
Tuy nhiên, trong quá khứ, Emotet được biết đến với việc cài đặt phần mềm độc hại TrickBot và gần đây hơn, đèn hiệu Cobalt Strike.
Các đèn hiệu Cobalt Strike này sau đó được sử dụng để truy cập ban đầu bởi các băng đảng ransomware, những người lây lan ngang trên mạng, đánh cắp dữ liệu và cuối cùng là mã hóa thiết bị.
Nhiễm trùng Emotet đã được sử dụng trong quá khứ để cung cấp cho các băng đảng ransomware Ryuk và Conti quyền truy cập ban đầu vào các mạng công ty.
Kể từ khiConti ngừng hoạt động vào tháng 6. Emotet được nhìn thấy hợp tác với các hoạt động ransomware Black Cat và Quantum để truy cập ban đầu trên các thiết bị đã bị nhiễm.