27/04/22
Операторы вредоносного ПО Emotet исправили баг, из-за которого после открытия вредоносного документа заражение системы так и не происходило, и снова запустили фишинговую кампанию.
Главным вектором распространения Emotet являются спам-письма с вредоносным вложением. Когда жертва открывает вредоносный документ, вредоносные макросы или скрипты загружают на ее систему Emotet DLL. После загрузки вредонос ищет и похищает электронные адреса для использования в будущих фишинговых кампаниях и загружает дополнительную полезную нагрузку наподобие Cobalt Strike или другого вредоносного ПО, в том числе вымогательского.
В пятницу, 22 апреля, операторы Emotet начали новую операцию по рассылке спама с вложенным ZIP-файлом, защищенным паролем. В нем содержался файл Windows LNK (ссылка быстрого доступа), замаскированный под документ Word.
После двойного нажатия на ссылку быстрого доступа выполнялась команда поиска в файле особой строки с кодом Visual Basic Script. Этот код затем добавлялся в новый файл VBS, который выполнялся на системе.
Однако вышеупомянутая команда содержала ошибку, поскольку использовала статическое имя ссылки быстрого доступа Password2.doc.lnk, хотя истинное имя прикрепленного файла было другим, например, INVOICE 2022-04-22_1033, USA.doc. Из-за этого команда не выполнялась, поскольку файла Password2.doc.lnk не существовало, и файл VBS не создавался, пояснили специалисты Cryptolaemus.
Как сообщил порталу BleepingComptuer исследователь Cryptolaemus Джозеф Рузен (Joseph Roosen), операторы Emotet прекратили новую операцию в пятницу ночью, когда обнаружили, что из-за бага заражения системы не происходило. Тем не менее, они быстро исправили ошибку и уже в понедельник снова запустили рассылку спама.
На этот раз в ссылке быстрого доступа содержится истинное имя файла, команда выполнятся и файл VBS создается должным образом. Emotet беспрепятственно загружается и выполняется на атакуемой системе.
