Το κακόβουλο λογισμικό Emotet έκανε ξανά την εμφάνισή του, μετά από μια παύση δέκα μηνών με πολλαπλές καμπάνιες ανεπιθύμητης αλληλογραφίας, που παραδίδουν κακόβουλα έγγραφα σε mailbox σε όλο τον κόσμο.
Δείτε επίσης: Το Emotet botnet επέστρεψε με τη βοήθεια του Trickbot
Το Emotet είναι μια μόλυνση από κακόβουλο λογισμικό που διανέμεται μέσω καμπανιών ανεπιθύμητης αλληλογραφίας με κακόβουλα συνημμένα. Εάν ένας χρήστης ανοίξει το συνημμένο, κακόβουλες μακροεντολές ή JavaScript θα κατεβάσουν το Emotet DLL και θα το φορτώσουν στη μνήμη χρησιμοποιώντας το PowerShell.
Μόλις φορτωθεί, το κακόβουλο λογισμικό θα αναζητήσει και θα κλέψει μηνύματα ηλεκτρονικού ταχυδρομείου για χρήση σε μελλοντικές καμπάνιες ανεπιθύμητης αλληλογραφίας και θα απορρίψει πρόσθετα ωφέλιμα φορτία όπως το TrickBot ή το Qbot, που συνήθως οδηγούν σε μολύνσεις ransomware.
Σύμφωνα με τον ερευνητή κυβερνοασφάλειας Brad Duncan, οι καμπάνιες ανεπιθύμητης αλληλογραφίας χρησιμοποιούν επαναληπτικά μηνύματα ηλεκτρονικού ταχυδρομείου για να παρασύρουν τον παραλήπτη να ανοίξει συνημμένα κακόβουλα αρχεία Word, Excel, καθώς και ZIP που είναι προστατευμένα με κωδικό πρόσβασης.
Τα μηνύματα ηλεκτρονικού ψαρέματος Reply-chain, είναι εκείνα που όταν νήματα email που είχαν κλαπεί προηγουμένως, χρησιμοποιούνται με πλαστές απαντήσεις για τη διανομή κακόβουλου λογισμικού σε άλλους χρήστες.
Στα δείγματα που μοιράστηκε ο Duncan, μπορούμε να δούμε το Emotet να χρησιμοποιεί Reply-chain που σχετίζονται με ένα “χαμένο πορτοφόλι”, μια πώληση CyberMonday, ακυρωμένες συναντήσεις, πολιτικές δωρεές και τον τερματισμό μίας οδοντιατρικής ασφάλισης.
Δείτε ακόμα: FBI: Δημοσίευσε 4 εκατομμύρια διευθύνσεις email που συλλέχθηκαν από το Emotet
Σε αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου επισυνάπτονται έγγραφα Excel ή Word με κακόβουλες μακροεντολές ή ένα συνημμένο αρχείο ZIP που προστατεύεται με κωδικό πρόσβασης και περιέχει ένα κακόβουλο έγγραφο Word.
Αυτήν τη στιγμή, δύο διαφορετικά κακόβουλα έγγραφα διανέμονται στις νέες καμπάνιες ανεπιθύμητης αλληλογραφίας Emotet.
Το πρώτο είναι ένα πρότυπο εγγράφου του Excel που δηλώνει ότι το έγγραφο λειτουργεί μόνο σε επιτραπέζιους ή φορητούς υπολογιστές και ότι ο χρήστης πρέπει να κάνει κλικ στο «Ενεργοποίηση περιεχομένου» για να δει σωστά τα περιεχόμενα.
Το κακόβουλο συνημμένο Word χρησιμοποιεί το πρότυπο «Red Dawn» και λέει ότι καθώς το έγγραφο βρίσκεται σε λειτουργία «Προστατευμένο», οι χρήστες πρέπει να ενεργοποιήσουν το περιεχόμενο και την επεξεργασία για να το δουν σωστά.
Όταν ανοίγετε τα συνημμένα του Emotet, το πρότυπο εγγράφου θα αναφέρει ότι η προεπισκόπηση δεν είναι διαθέσιμη και ότι πρέπει να κάνετε κλικ στο «Ενεργοποίηση επεξεργασίας» και «Ενεργοποίηση περιεχομένου» για να προβάλετε σωστά το περιεχόμενο.
Ωστόσο, μόλις κάνετε κλικ σε αυτά τα κουμπιά, θα ενεργοποιηθούν κακόβουλες μακροεντολές που εκκινούν μια εντολή PowerShell για λήψη του DLL του Emotet loader από έναν παραβιασμένο ιστότοπο του WordPress και για αποθήκευση στο φάκελο C:\ProgramData.
Μετά τη λήψη, το DLL θα εκκινηθεί χρησιμοποιώντας το C:\Windows\SysWo64\rundll32.exe, το οποίο θα αντιγράψει το DLL σε έναν τυχαίο φάκελο κάτω από το %LocalAppData% και στη συνέχεια θα εκτελέσει ξανά το DLL από αυτόν τον φάκελο.
Δείτε επίσης: Το Emotet malware αφαιρέθηκε από όλους τους μολυσμένους υπολογιστές!
Μετά από κάποιο χρονικό διάστημα, το Emotet θα διαμορφώσει μια τιμή εκκίνησης κάτω από το HKCU\Software\Microsoft\Windows\CurrentVersion\Run για την εκκίνηση του κακόβουλου λογισμικού κατά την εκκίνηση των Windows.
Το κακόβουλο λογισμικό Emotet θα παραμείνει σιωπηλά σε λειτουργία στο παρασκήνιο, ενώ περιμένει να εκτελεστούν εντολές από τον διακομιστή εντολών και ελέγχου του.
Αυτές οι εντολές θα μπορούσαν να είναι η αναζήτηση email για κλοπή, η διάδοση σε άλλους υπολογιστές ή η εγκατάσταση πρόσθετων ωφέλιμων φορτίων, όπως το TrickBot ή το Qbot trojans.
