Операторы Emotet запустили кампанию в Microsoft Office

Cryptolaemus Emotet фишинг Microsoft Office Cobalt Strike MoTW Microsoft DLL
Пользователь следует инструкциям злоумышленников для установки Emotet.

Операторы Emotet запустили кампанию в Microsoft Office

Исследовательская группа Cryptolaemus, созданная для борьбы с вредоносным ПО Emotet,
заявила , что операторы Emotet запустили вредоносную кампанию с использованием электронных писем.
Emotet
— это вредоносное ПО, распространяемое посредством фишинговых кампаний, содержащих вредоносные документы Excel или Word. Когда пользователь открывает документ и активирует макросы, Emotet загружается в память.
После загрузки вредоносное ПО похищает электронные письма для использования в будущих кампаниях и сбрасывает дополнительные полезные нагрузки, такие как Cobalt Strike представляет собой фреймворк для проведения тестов на проникновение, позволяющий доставить на компьютер жертвы полезную нагрузку и управлять ею. Злоумышленники могут использовать Cobalt Strike для развертывания атак с расширенными постоянными угрозами (APT) против вашей организации.

data-html=”true” data-original-title=”Cobalt Strike”
>Cobalt Strike
или другое вредоносное ПО, которое обычно приводит к атакам программ-вымогателей.
Обнаруженная кампания использует вложения, предназначенные для пользователей по всему миру, на разных языках и с разными именами файлов, выдающие себя за счета, сканы, электронные формы и другие приманки.

Примеры названий вредоносных вложений
Кампания Emotet использует
шаблон вложения Excel , который содержит инструкции по обходу защищенного просмотра Microsoft.


Вредоносный документ Excel
Когда файл загружается из Интернета, Microsoft добавляет к файлу специальный флаг Mark-of-the-Web (MoTW). При открытии документ с флагом MoTW открывается в режиме защищенного просмотра, предотвращая выполнение макросов, устанавливающих вредоносное ПО.
Однако, во вложении Emotet операторы указали инструкции для пользователей – копировать файл в доверенные папки «Шаблоны». Это позволяет обойти защищенный просмотр Microsoft Office. При открытии документа из папки «Шаблоны» запускаются и макросы, которые загружают вредоносное ПО Emotet.
Emotet загружается в виде DLL – (с англ. Dynamic Link Library, динамически подключаемая библиотека) это библиотека, содержащая код и данные, которые могут использоваться несколькими программами одновременно.

data-html=”true” data-original-title=”DLL”
>DLL
в несколько папок со случайными именами в папке «%UserProfile%AppDataLocal». Затем макросы запускают DLL с помощью легитимной команды «regsvr32.exe».


Emotet в случайной папке в %LocalAppData%
После загрузки вредоносное ПО работает в фоновом режиме и подключается к C&C-серверу для получения дальнейших инструкций или установки дополнительных полезных нагрузок.

SECURITYLAB.RU

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *