Операторы Emotet запустили кампанию в Microsoft Office
03/11/22
Исследовательская группа Cryptolaemus, созданная для борьбы с вредоносным ПО Emotet, заявила , что операторы Emotet запустили вредоносную кампанию с использованием электронных писем.
Emotet — это вредоносное ПО, распространяемое посредством фишинговых кампаний, содержащих вредоносные документы Excel или Word, напоминает Securitylab. Когда пользователь открывает документ и активирует макросы, Emotet загружается в память.
После загрузки вредоносное ПО похищает электронные письма для использования в будущих кампаниях и сбрасывает дополнительные полезные нагрузки, такие как Cobalt Strike или другое вредоносное ПО, которое обычно приводит к атакам программ-вымогателей.
Обнаруженная кампания использует вложения, предназначенные для пользователей по всему миру, на разных языках и с разными именами файлов, выдающие себя за счета, сканы, электронные формы и другие приманки.
Кампания Emotet использует шаблон вложения Excel , который содержит инструкции по обходу защищенного просмотра Microsoft.
Когда файл загружается из Интернета, Microsoft добавляет к файлу специальный флаг Mark-of-the-Web (MoTW). При открытии документ с флагом MoTW открывается в режиме защищенного просмотра, предотвращая выполнение макросов, устанавливающих вредоносное ПО.
Однако, во вложении Emotet операторы указали инструкции для пользователей – копировать файл в доверенные папки «Шаблоны». Это позволяет обойти защищенный просмотр Microsoft Office. При открытии документа из папки «Шаблоны» запускаются и макросы, которые загружают вредоносное ПО Emotet.
Emotet загружается в виде DLL в несколько папок со случайными именами в папке «%UserProfile%\AppData\Local». Затем макросы запускают DLL с помощью легитимной команды «regsvr32.exe».
После загрузки вредоносное ПО работает в фоновом режиме и подключается к C&C-серверу для получения дальнейших инструкций или установки дополнительных полезных нагрузок.