Το κακόβουλο λογισμικό Emotet διανέμεται πλέον μέσω κακόβουλων πακέτων Windows App Installer που μεταμφιέζονται σε λογισμικό Adobe PDF.
Δείτε επίσης: Ποιες νέες καμπάνιες Emotet εμφανίζονται στα mailbox παγκοσμίως
Το Emotet είναι ένα κακόβουλο λογισμικό που εξαπλώνεται μέσω email ηλεκτρονικού ψαρέματος και κακόβουλων συνημμένων. Μόλις εγκατασταθεί, θα κλέψει τα email για άλλες καμπάνιες ανεπιθύμητης αλληλογραφίας και θα αναπτύξει κακόβουλο λογισμικό, όπως το TrickBot και το Qbot, που συνήθως οδηγούν σε επιθέσεις ransomware.
Οι κακόβουλοι παράγοντες πίσω από το Emotet μολύνουν τώρα τα συστήματα εγκαθιστώντας κακόβουλα πακέτα χρησιμοποιώντας μια ενσωματωμένη δυνατότητα των Windows 10 και των Windows 11 που ονομάζεται App Installer.
Ανακαλύψτε τον Μικροσκοπικό Εξωπλανήτη κοντά στο Άστρο του Μπαρναρντ
Το ρομπότ AV1 βοηθά άρρωστα παιδιά να μην χάνουν μαθήματα
Τυφώνας Milton: Αναβάλλεται η εκτόξευση του Europa Clipper
Οι ερευνητές είδαν προηγουμένως να χρησιμοποιείται αυτή η μέθοδος και για τη διανομή του κακόβουλου λογισμικού BazarLoader όπου εγκατέστησε κακόβουλα πακέτα που φιλοξενούνται στο Microsoft Azure.
Χρησιμοποιώντας διευθύνσεις URL και δείγματα email που κοινοποιούνται από την ομάδα παρακολούθησης Emotet Cryptolaemus, παρουσιάστηκε η ροή επίθεσης της νέας καμπάνιας ηλεκτρονικού ψαρέματος.
Αυτή η νέα καμπάνια Emotet ξεκινά με κλεμμένα μηνύματα ηλεκτρονικού ταχυδρομείου που εμφανίζονται ως απάντηση σε μια υπάρχουσα συνομιλία.
Αυτές οι απαντήσεις απλώς λένε στον παραλήπτη “Παρακαλώ δείτε το συνημμένο” και περιέχουν έναν σύνδεσμο προς ένα υποτιθέμενο PDF που σχετίζεται με τη συνομιλία μέσω email.
Όταν γίνει κλικ στον σύνδεσμο, ο χρήστης θα μεταφερθεί σε μια ψεύτικη σελίδα του Google Drive που τους ζητά να κάνουν κλικ σε ένα κουμπί για να κάνουν προεπισκόπηση του εγγράφου PDF.
Δείτε ακόμα: Google Drive update: Νέες δυνατότητες στην Android έκδοση
Αυτό το κουμπί “Προεπισκόπησης PDF” είναι μια διεύθυνση URL του ms-appinstaller που επιχειρεί να ανοίξει ένα αρχείο εγκατάστασης εφαρμογής που φιλοξενείται στο Microsoft Azure χρησιμοποιώντας διευθύνσεις URL στη διεύθυνση *.web.core.windows.net.
Ένα αρχείο εφαρμογής εγκατάστασης είναι απλώς ένα αρχείο XML που περιέχει πληροφορίες σχετικά με τον υπογεγραμμένο εκδότη και τη διεύθυνση URL στο appbundle που θα εγκατασταθεί.
Όταν προσπαθείτε να ανοίξετε ένα αρχείο .appinstaller, το πρόγραμμα περιήγησης των Windows θα σας ζητήσει να προχωρήσετε εάν θέλετε να ανοίξετε το πρόγραμμα Windows App Installer.
Μόλις συμφωνήσετε, θα εμφανιστεί ένα παράθυρο του App Installer που θα σας ζητά να εγκαταστήσετε το «Adobe PDF Component».
Το κακόβουλο πακέτο μοιάζει με νόμιμη εφαρμογή της Adobe, καθώς έχει ένα νόμιμο εικονίδιο Adobe PDF, ένα έγκυρο πιστοποιητικό που το επισημαίνει ως “Αξιόπιστη εφαρμογή” και πλαστά στοιχεία εκδότη. Αυτός ο τύπος επικύρωσης από τα Windows είναι υπεραρκετός για πολλούς χρήστες ώστε να εμπιστευτούν την εφαρμογή και να την εγκαταστήσουν.
Δείτε επίσης: Το Emotet botnet επέστρεψε με τη βοήθεια του Trickbot
Μόλις ένας χρήστης κάνει κλικ στο κουμπί “Εγκατάσταση“, το App Installer θα πραγματοποιήσει λήψη και εγκατάσταση του κακόβουλου appxbundle που φιλοξενείται στο Microsoft Azure. Αυτό το appxbundle θα εγκαταστήσει ένα DLL στο φάκελο %Temp% και θα το εκτελέσει με το rundll32.exe.
Αυτή η διαδικασία θα αντιγράψει επίσης το DLL ως αρχείο και φάκελο με τυχαία ονομασία στο %LocalAppData%.
Τέλος, θα δημιουργηθεί μια αυτόματη εκτέλεση στο HKCU\Software\Microsoft\Windows\CurrentVersion\Run για αυτόματη εκκίνηση του DLL όταν ένας χρήστης συνδέεται στα Windows.
Το Emotet ήταν το κακόβουλο λογισμικό με τη μεγαλύτερη διανομή στο παρελθόν μέχρι που μια επιχείρηση επιβολής του νόμου έκλεισε και κατέλαβε την υποδομή του botnet. Δέκα μήνες αργότερα, το Emotet αναστήθηκε καθώς άρχισε να ξαναχτίζεται με τη βοήθεια του trojan TrickBot.