Modern technology gives us many things.

Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίως

0

Το κακόβουλο λογισμικό Emotet έκανε ξανά την εμφάνισή του, μετά από μια παύση δέκα μηνών με πολλαπλές καμπάνιες ανεπιθύμητης αλληλογραφίας, που παραδίδουν κακόβουλα έγγραφα σε mailbox σε όλο τον κόσμο.

Δείτε επίσης: Το Emotet botnet επέστρεψε με τη βοήθεια του Trickbot

emotet - Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίως

Το Emotet είναι μια μόλυνση από κακόβουλο λογισμικό που διανέμεται μέσω καμπανιών ανεπιθύμητης αλληλογραφίας με κακόβουλα συνημμένα. Εάν ένας χρήστης ανοίξει το συνημμένο, κακόβουλες μακροεντολές ή JavaScript θα κατεβάσουν το Emotet DLL και θα το φορτώσουν στη μνήμη χρησιμοποιώντας το PowerShell.

Μόλις φορτωθεί, το κακόβουλο λογισμικό θα αναζητήσει και θα κλέψει μηνύματα ηλεκτρονικού ταχυδρομείου για χρήση σε μελλοντικές καμπάνιες ανεπιθύμητης αλληλογραφίας και θα απορρίψει πρόσθετα ωφέλιμα φορτία όπως το TrickBot ή το Qbot, που συνήθως οδηγούν σε μολύνσεις ransomware.

Σύμφωνα με τον ερευνητή κυβερνοασφάλειας Brad Duncan, οι καμπάνιες ανεπιθύμητης αλληλογραφίας χρησιμοποιούν επαναληπτικά μηνύματα ηλεκτρονικού ταχυδρομείου για να παρασύρουν τον παραλήπτη να ανοίξει συνημμένα κακόβουλα αρχεία Word, Excel, καθώς και ZIP που είναι προστατευμένα με κωδικό πρόσβασης.

Τα μηνύματα ηλεκτρονικού ψαρέματος Reply-chain, είναι εκείνα που όταν νήματα email που είχαν κλαπεί προηγουμένως, χρησιμοποιούνται με πλαστές απαντήσεις για τη διανομή κακόβουλου λογισμικού σε άλλους χρήστες.

Στα δείγματα που μοιράστηκε ο Duncan, μπορούμε να δούμε το Emotet να χρησιμοποιεί Reply-chain που σχετίζονται με ένα “χαμένο πορτοφόλι”, μια πώληση CyberMonday, ακυρωμένες συναντήσεις, πολιτικές δωρεές και τον τερματισμό μίας οδοντιατρικής ασφάλισης.

Δείτε ακόμα: FBI: Δημοσίευσε 4 εκατομμύρια διευθύνσεις email που συλλέχθηκαν από το Emotet

Σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου επισυνάπτονται έγγραφα Excel ή Word με κακόβουλες μακροεντολές ή ένα συνημμένο αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης και περιέχει ένα κακόβουλο έγγραφο Word.

Αυτήν τη στιγμή, δύο διαφορετικά κακόβουλα έγγραφα διανέμονται στις νέες καμπάνιες ανεπιθύμητης αλληλογραφίας Emotet.

spam email - Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίωςspam email - Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίως

Το πρώτο είναι ένα πρότυπο εγγράφου του Excel που δηλώνει ότι το έγγραφο λειτουργεί μόνο σε επιτραπέζιους ή φορητούς υπολογιστές και ότι ο χρήστης πρέπει να κάνει κλικ στο «Ενεργοποίηση περιεχομένου» για να δει σωστά τα περιεχόμενα.

Το κακόβουλο συνημμένο Word χρησιμοποιεί το πρότυπο «Red Dawn» και λέει ότι καθώς το έγγραφο βρίσκεται σε λειτουργία «Προστατευμένο», οι χρήστες πρέπει να ενεργοποιήσουν το περιεχόμενο και την επεξεργασία για να το δουν σωστά.

Όταν ανοίγετε τα συνημμένα του Emotet, το πρότυπο εγγράφου θα αναφέρει ότι η προεπισκόπηση δεν είναι διαθέσιμη και ότι πρέπει να κάνετε κλικ στο «Ενεργοποίηση επεξεργασίας» και «Ενεργοποίηση περιεχομένου» για να προβάλετε σωστά το περιεχόμενο.

Ωστόσο, μόλις κάνετε κλικ σε αυτά τα κουμπιά, θα ενεργοποιηθούν κακόβουλες μακροεντολές που εκκινούν μια εντολή PowerShell για λήψη του DLL του Emotet loader από έναν παραβιασμένο ιστότοπο του WordPress και για αποθήκευση στο φάκελο C:ProgramData.

Μετά τη λήψη, το DLL θα εκκινηθεί χρησιμοποιώντας το C:WindowsSysWo64rundll32.exe, το οποίο θα αντιγράψει το DLL σε έναν τυχαίο φάκελο κάτω από το %LocalAppData% και στη συνέχεια θα εκτελέσει ξανά το DLL από αυτόν τον φάκελο.

Δείτε επίσης: Το Emotet malware αφαιρέθηκε από όλους τους μολυσμένους υπολογιστές!

Μετά από κάποιο χρονικό διάστημα, το Emotet θα διαμορφώσει μια τιμή εκκίνησης κάτω από το HKCUSoftwareMicrosoftWindowsCurrentVersionRun για την εκκίνηση του κακόβουλου λογισμικού κατά την εκκίνηση των Windows.

Το κακόβουλο λογισμικό Emotet θα παραμείνει σιωπηλά σε λειτουργία στο παρασκήνιο, ενώ περιμένει να εκτελεστούν εντολές από τον διακομιστή εντολών και ελέγχου του.

Αυτές οι εντολές θα μπορούσαν να είναι η αναζήτηση email για κλοπή, η διάδοση σε άλλους υπολογιστές ή η εγκατάσταση πρόσθετων ωφέλιμων φορτίων, όπως το TrickBot ή το Qbot trojans.

Πηγή SecNews.gr

Google News - Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίωςΠατήστε εδώ και ακολουθήστε το TechWar.gr στο Google News για να μάθετε πρώτοι όλες τις ειδήσεις τεχνολογίας.

Λάβετε ενημερώσεις σε πραγματικό χρόνο απευθείας στη συσκευή σας, εγγραφείτε τώρα.

Μπορεί επίσης να σας αρέσει
Σχολιάστε το Άρθρο

Η διεύθυνση email σας δεν θα δημοσιευθεί.