HACKING

Το Emotet επιστρέφει μετά από ένα διάλειμμα πέντε μηνών

This post was originally published on this site

Μετά από μια παύση πέντε μηνών, η malware επιχείρηση Emotet επέστρεψε και στέλνει phishing emails σε χρήστες.

Emotet malware

Η μόλυνση από το κακόβουλο λογισμικό Emotet γίνεται μέσω εκστρατειών phishing που περιλαμβάνουν κακόβουλα έγγραφα Excel ή Word. Εάν οι χρήστες ανοίξουν αυτά τα έγγραφα και ενεργοποιήσουν τις μακροεντολές, το Emotet DLL θα κατεβεί στη συσκευή και θα φορτωθεί στη μνήμη.

Το κακόβουλο λογισμικό, μόλις φορτωθεί, θα αναζητήσει και θα κλέψει μηνύματα ηλεκτρονικού ταχυδρομείου για να τα χρησιμοποιήσει για άλλες spam επιθέσεις στο μέλλον. Επίσης, συχνά εγκαθιστά άλλα payloads στη συσκευή του θύματος που οδηγούν σε επιθέσεις ransomware (π.χ. Cobalt Strike).

Δείτε επίσης: Το cryptocurrency exchange Deribit χακαρίστηκε

Το Emotet είναι ένα από τα πιο δημοφιλή malware και έχει χρησιμοποιηθεί σε πάρα πολλές επιθέσεις τα τελευταία χρόνια. Ωστόσο, από τα μέσα Ιουνίου 2022, δεν εντοπίστηκαν νέες μολύνσεις.

Το Emotet επιστρέφει

Στις 2 Νοεμβρίου, ερευνητές της ερευνητικής ομάδας Cryptolaemus παρατήρησαν μια νέα καμπάνια Emotet που ξεκινά, ως συνήθως, με phishing emails.

Ο ερευνητής απειλών της Proofpoint και μέλος της Cryptolaemus, Tommy Madjar, δήλωσε στο BleepingComputer ότι οι τρέχουσες εκστρατείες Emotet χρησιμοποιούν κλεμμένες αλυσίδες απαντήσεων email για τη διανομή επιβλαβών συνημμένων αρχείων Excel.

Από δείγματα που βρέθηκαν στο VirusTotal, βλέπουμε ότι τα κακόβουλα συνημμένα αρχεία αποστέλλονται σε χρήστες σε όλο τον κόσμο, με διαφορετικές γλωσσικές επιλογές και διαφορετικά ονόματα αρχείων. Αυτά τα αρχεία συνήθως παρουσιάζονται ως τιμολόγια, σαρώσεις, ηλεκτρονικές φόρμες ή άλλα ψευδή έγγραφα που προσπαθούν να εξαπατήσουν τα άτομα και να τα κάνουν να τα ανοίξουν.

Μερικά παραδείγματα ονομάτων αρχείων παρατίθενται παρακάτω:

Scan_20220211_77219.xls
fattura novembre 2022.xls
BFE-011122 XNIZ-021122.xls
FH-1612 report.xls
2022-11-02_1739.xls
Fattura 2022 - IT 00225.xls
RHU-011122 OOON-021122.xls
Electronic form.xls
Rechnungs-Details.xls
Gmail_2022-02-11_1621.xls
gescanntes-Dokument 2022.02.11_1028.xls
Rechnungs-Details.xls
DETALLES-0211.xls
Dokumente-vom-Notar 02.11.2022.xls
INVOICE0000004678.xls
SCAN594_00088.xls
Copia Fattura.xls
Form.xls
Form - 02 Nov, 2022.xls
Nuovo documento 2022.11.02.xls
Invoice Copies 2022-11-02_1008, USA.xls
payments 2022-11-02_1011, USA.xls

Η σημερινή καμπάνια Emotet παρουσιάζει και ένα νέο Excel template που περιέχει οδηγίες για την παράκαμψη του Protected View της Microsoft. Αυτό διευκολύνει τους επιτιθέμενους να αποκτήσουν πρόσβαση στις πληροφορίες σας και να θέσουν τον υπολογιστή σας σε κίνδυνο.

Κάθε φορά που κατεβάζετε ένα αρχείο από το διαδίκτυο -είτε ως συνημμένο σε ένα email είτε όχι- η Microsoft θα προσθέσει σε αυτό ένα MoTW flag (Mark-of-the-Web).

Το Microsoft Office ανοίγει αυτόματα τα έγγραφα με MoTW flag σε προστατευμένη προβολή (Protected View), η οποία αποτρέπει την εκτέλεση μακροεντολών που εγκαθιστούν κακόβουλο λογισμικό.

Όμως, το νέο συνημμένο αρχείο στην εκστρατεία Emotet δίνει οδηγίες στους χρήστες να παρακάμψουν την Προστατευμένη προβολή του Microsoft Office αντιγράφοντας το αρχείο στον αξιόπιστο φάκελο “Templates”.

Τα Windows θα προειδοποιήσουν τους χρήστες ότι η αντιγραφή ενός αρχείου στο φάκελο “Τemplates” απαιτεί δικαιώματα “διαχειριστών”. Παρόλο που υπάρχει αυτή η προειδοποίηση, οι περισσότεροι χρήστες που θα προσπαθήσουν να αντιγράψουν το αρχείο είναι πιθανό να πατήσουν τελικά το κουμπί ‘Συνέχεια’.

Δείτε επίσης: H Dropbox ανακοίνωσε παραβίαση ασφαλείας – Hacker έκλεψε GitHub repositories

Όταν ανοίγετε το συνημμένο αρχείο από το φάκελο ‘Templates’, θα γίνει εκτέλεση μακροεντολών που θα οδηγήσει στη λήψη του Emotet malware στον υπολογιστή.

Emotet phishingEmotet phishing

Το κακόβουλο λογισμικό Emotet μεταφορτώνεται ως DLL σε διάφορους φακέλους με τυχαία ονόματα στο %UserProfile%AppDataLocal, όπως το παρακάτω παράδειγμα.

Οι μακροεντολές θα εκκινήσουν στη συνέχεια το DLL χρησιμοποιώντας τη νόμιμη εντολή regsvr32.exe.

Το κακόβουλο λογισμικό θα εκτελεστεί αθόρυβα στο παρασκήνιο μετά τη λήψη του, και θα συνδεθεί με έναν Command and Control server για να λάβει περαιτέρω οδηγίες ή να εγκαταστήσει άλλο κακόβουλο payload.

Σύμφωνα με τον Madjar, στη νέα καμπάνια, το Emotet δεν εγκαθιστά πρόσθετα payloads στις συσκευές των θυμάτων.

Ωστόσο, στο παρελθόν, το Emotet συνήθιζε να εγκαθιστά άλλα κακόβουλα λογισμικά όπως το TrickBot και Cobalt Strike beacons.

Οι συμμορίες ransomware χρησιμοποιούν τα Cobalt Strike beacons για αρχική πρόσβαση, και στη συνέχει μπορούν να εξαπλωθούν σε όλο το δίκτυο για να κλέψουν δεδομένα και τελικά να κρυπτογραφήσουν συσκευές.

Δείτε επίσης: Play Store: Προσοχή! Βρέθηκαν 4 κακόβουλες Android εφαρμογές

Οι μολύνσεις Emotet έχουν χρησιμοποιηθεί στο παρελθόν για να δώσουν στις ransomware συμμορίες Ryuk και Conti αρχική πρόσβαση σε εταιρικά δίκτυα.

Μετά τη διακοπή των δραστηριοτήτων της συμμορίας Conti τον Ιούνιο, το Emotet συνεργάστηκε με τις ομάδες BlackCat και το Quantum.

Το Emοtet malware θεωρούνταν κάποτε το πιο διαδεδομένο κακόβουλο λογισμικό.

Στις αρχές του 2021, όμως, μια διεθνής αστυνομική επιχείρηση, που συντονίστηκε από την Europol και την Eurojust, ανέλαβε τον έλεγχο της υποδομής του Emοtet, διέκοψε τη λειτουργία του malware και συνέλαβε δύο άτομα.

Οι γερμανικές αρχές επιβολής του νόμου χρησιμοποίησαν την υποδομή για να παραδώσουν ένα Emotet module που απεγκατέστησε το κακόβουλο λογισμικό από μολυσμένες συσκευές στις 25 Απριλίου 2021.

Το Νοέμβριο του 2021, ωστόσο, το Emotet έκανε comeback. Έκτοτε πραγματοποιήθηκαν αρκετές επιθέσεις μέχρι τον Ιούνιο του 2022. Όπως είπαμε και παραπάνω, μετά τον Ιούνιο παρατηρήθηκε μια παύση αλλά τώρα ανακαλύφθηκαν νέα phishing emails που διανέμουν το Emotet, κάτι που σημαίνει ότι πρέπει να είμαστε πολύ προσεκτικοί!

Πηγή: www.bleepingcomputer.com

The post Το Emotet επιστρέφει μετά από ένα διάλειμμα πέντε μηνών appeared first on SecNews.gr.

https://www.secnews.gr/security/

%d bloggers like this: