Ένα νέο κύμα κακόβουλου λογισμικού Emotet διανέμει τα ransomware του Nozelesn στα endpoint συστήματα μέσω κακόβουλων εγγράφων word.
Το Telemetry διέθετε πάνω από 14.000 ανιχνεύσεις ανεπιθύμητων μηνυμάτων σε όλο τον κόσμο μεταξύ 9 Ιανουαρίου 2019 και 7 Φεβρουαρίου 2019 μέσω spam μηνυμάτων emotet. Αυτές οι μαζικές “εισβολές” απευθύνονται κυρίως σε χώρες όπως το Ηνωμένο Βασίλειο, η Κύπρος, η Γερμανία, η Αργεντινή, ο Καναδάς και διάφορες τοποθεσίες σε διαφορετικές χρονικές στιγμές.
Αυτή η νέα καμπάνια αποκαλύφθηκε αρχικά μέσω του Trend Micro Managed Monitoring System (MDR), όπου οι ερευνητές ανακάλυψαν περίπου 580 παρόμοια Emotet attachment samples δείγματα.
Οι επιτιθέμενοι χρησιμοποιούν τις κοινές τεχνικές email για να καταφέρουν να πείσουν τα θύματα να κάνουν κλικ στον σύνδεσμο ή να ανοίξουν κακόβουλα έγγραφα που συνδέονται με το σύνδεσμο. Οι πιο συνηθισμένες φράσεις που χρησιμοποιούν είναι “τελευταίο τιμολόγιο”, “λεπτομέρειες αποστολής” και “επείγουσα παράδοση” για να τραβήξουν την προσοχή των χρηστών ότι πρόκειται για κάτι επείγον.
Ανοίγοντας το συνημμένο έγγραφο word των spam email, θα τρέξει μια μακροεντολή και στη συνέχεια θα καλέσει τελικά το PowerShell για να κατεβάσει ένα malware από έναν απομακρυσμένο server.
Κατά τη διάρκεια της έρευνας, οι ερευνητές εντόπισαν ένα ύποπτο αρχείο που ονομάζεται “Πώς να διορθώσετε το αρχείο Nozelesn files.htm” στο endpoint (Server), όπου βρέθηκε επίσης ένδειξη μόλυνσης από Nozelesn ransomware. Πρόσθετη ανάλυση εντόπισε ότι ένα αρχείο κακόβουλου εγγράφου είχε ανοίξει στο Microsoft Word και κατέβηκε μέσω του Google Chrome. Το PowerShell.exe τρέχει όταν τα θύματα ανοίξουν το αρχείο για να συνδεθούν σε μια σειρά διευθύνσεων IP για να δημιουργήσουν ένα άλλο αρχείο 942.exe.
Σύμφωνα με την ανάλυση της Trend Micro, “Με βάση τη συμπεριφορά του, το malware μπορεί να έχει συνδεθεί σε πολλές διευθύνσεις IP για να κατεβάσει ένα άλλο malware το οποίο θα τρέξει στο σύστημα. Σε αυτήν την περίπτωση, παρατηρήσαμε ότι κατέβαζε συνέχεια μια ενημέρωση του ίδιου του malware, επικοινωνώντας με διαφορετικούς command-and-control (C&C) servers κάθε φορά.
Το δευτερεύον upload, το οποίο είναι πολύ παρόμοιο με το Nymaim, το οποίο συνδέεται με ransomware Nozelesn, έπειτα έπεσε. Τέλος, το ransomware Nozelesn φορτώθηκε στο μολυσμένο σύστημα και τα αρχεία στο σύστημα του endpoint (server) κρυπτογραφήθηκαν μέσω κοινόχρηστων φακέλων.
