Nowe ataki Emotet wykorzystują fałszywe przynęty Windows Update

Emotet poszerza arsenał o nowe przynęty, aby nakłonić użytkowników do zarażenia się.

W dzisiejszym środowisku cyberbezpieczeństwa botnet Emotet jest jednym z największych źródeł złośliwego spamu - terminu używanego do opisywania wiadomości e-mail, które dostarczają załączniki w postaci plików ze złośliwym oprogramowaniem.

Te kampanie złośliwego spamu są absolutnie kluczowe dla operatorów Emotet.

Spam jest bazą, która wspiera botnet, dostarczając nowe ofiary do maszyny Emotet - operacji cyberprzestępczej Malware-as-a-Service (MaaS), która jest wynajmowana innym grupom przestępczym.

Aby uniemożliwić firmom zajmującym się bezpieczeństwem nadrabianie zaległości i oznaczanie ich wiadomości e-mail jako „złośliwych” lub „spamu”, grupa Emotet regularnie zmienia sposób dostarczania tych wiadomości i wygląd załączników.

Operatorzy Emotet zmieniają tematy wiadomości e-mail, treść wiadomości e-mail, typ załącznika pliku, ale także zawartość załącznika, która jest równie ważna jak reszta wiadomości e-mail.

Dzieje się tak, ponieważ użytkownicy, którzy otrzymują złośliwy spam Emotet, oprócz czytania wiadomości e-mail i otwierania pliku, nadal muszą zezwolić plikowi na wykonywanie automatycznych skryptów zwanych „makrami”. Makra pakietu Office są wykonywane tylko po naciśnięciu przez użytkownika przycisku „Włącz edytowanie”, który jest wyświetlany w pliku pakietu Office.

Oszukiwanie użytkowników w celu umożliwienia edycji jest tak samo ważne dla operatorów złośliwego oprogramowania, jak projektowanie szablonów wiadomości e-mail, szkodliwego oprogramowania czy infrastruktury wewnętrznej botnetu.

Na przestrzeni lat Emotet opracował kolekcję dokumentów Office z pułapkami, które wykorzystują różnorodne „przynęty”, aby przekonać użytkowników do kliknięcia przycisku „Włącz edycję”. Aktualnie emotet zawiera:

  • Dokumenty, które twierdzą, że zostały skompilowane na innej platformie (np. Windows 10 Mobile, Android lub iOS), a użytkownik musi włączyć edycję, aby zawartość się pojawiła.
  • Dokumenty twierdzące, że zostały skompilowane w starszych wersjach pakietu Office, a użytkownik musi włączyć edycję, aby zawartość się pojawiła.
  • Dokumenty, które twierdzą, że są w widoku chronionym i proszą użytkownika o włączenie edycji. (Jak na ironię, mechanizm widoku chronionego blokuje makra i wyświetla przycisk / ograniczenie Włącz edycję).
  • Dokumenty, które twierdzą, że zawierają poufne lub ograniczone materiały, które są widoczne dopiero po włączeniu przez użytkownika edycji.
  • Dokumenty przedstawiające fałszywe kreatory aktywacji i twierdzące, że aktywacja pakietu Office została zakończona, a użytkownik musi tylko kliknąć, aby umożliwić edycję, aby korzystać z pakietu Office; i wiele więcej.

Ale w tym tygodniu Emotet wrócił z niedawnych wakacji z nową przynętą na dokumenty.

Załączniki do plików wysłane w ostatnich kampaniach Emotet zawierają komunikat rzekomo pochodzący z usługi Windows Update, informujący użytkowników, że należy zaktualizować aplikację Office. Oczywiście należy to zrobić, klikając przycisk Włącz edycję (nie naciskaj go).

Według aktualizacji grupy Cryptolaemus, od wczoraj przynęty Emotet są masowo rozsyłane do użytkowników na całym świecie.

Te dokumenty z pułapkami są wysyłane z wiadomości e-mail ze sfałszowanymi tożsamościami, które wydają się pochodzić od znajomych i partnerów biznesowych.

Ponadto Emotet często wykorzystuje technikę zwaną przechwytywaniem konwersacji, za pomocą której kradnie wątki e-mail z zainfekowanych hostów, wstawia się do wątku z odpowiedzią podszywającą się pod jednego z uczestników i dodaje jako załączniki przechwycone dokumenty Office.

Technika ta jest trudna do przyjęcia, szczególnie wśród użytkowników, którzy na co dzień pracują z biznesowymi wiadomościami e-mail, dlatego Emotet bardzo często udaje się regularnie infekować sieci korporacyjne lub rządowe.

W takich przypadkach trening i świadomość są najlepszym sposobem zapobiegania atakom Emotet. Użytkownicy, którzy regularnie pracują z wiadomościami e-mail, powinni być świadomi niebezpieczeństwa związanego z włączaniem makr w dokumentach, funkcji, która jest bardzo rzadko wykorzystywana do legalnych celów.

Wiedza o tym, jak wyglądają typowe dokumenty przynęty Emotet, jest również dobrym początkiem, ponieważ użytkownicy będą mogli uniknąć najpopularniejszych sztuczek Emoteta, gdy jeden z tych e-maili trafi do ich skrzynek odbiorczych, nawet od znanego korespondenta.

Poniżej znajduje się lista najpopularniejszych przynęt dokumentowych Emotet, udostępniona przez firmy zajmujące się bezpieczeństwem i analityków bezpieczeństwa na Twitterze. Co więcej, ten artykuł zawiera najpopularniejsze dziś przynęty na szkodliwy spam dla wielu dzisiejszych botnetów spamowych, takich jak Dridex, QakBot i inne.

Źródła: