Λίγο πριν από τις γιορτές, το περιβόητο κακόβουλο λογισμικό Emotet εγκαθιστά για άλλη μια φορά απευθείας beacons Cobalt Strike για γρήγορες επιθέσεις.
Δείτε επίσης: Το Emotet εγκαθιστά το Cobalt Strike σε συσκευές επιτρέποντας πιο γρήγορη μόλυνση με ransomware
Για όσους δεν γνωρίζουν, το Emotet θεωρείται μία από τις πιο διαδεδομένες μολύνσεις κακόβουλου λογισμικού και διανέμεται μέσω email ηλεκτρονικού ψαρέματος που περιλαμβάνουν κακόβουλα συνημμένα.
Μόλις μολυνθεί μια συσκευή, το Emotet κλέβει το email ενός θύματος για να το χρησιμοποιήσει σε μελλοντικές καμπάνιες και στη συνέχεια θα απορρίψει ωφέλιμα φορτία κακόβουλου λογισμικού, όπως το TrickBot και το Qbot.
Ωστόσο, νωρίτερα αυτόν τον μήνα, η Emotet άρχισε να δοκιμάζει την εγκατάσταση Beacons Cobalt Strike σε μολυσμένες συσκευές αντί για τα κανονικά ωφέλιμα φορτία τους.
Το Cobalt Strike είναι ένα νόμιμο εργαλείο διείσδυσης που χρησιμοποιείται συνήθως από τους κακόβουλους παράγοντες, για να εξαπλωθούν πλευρικά μέσω ενός οργανισμού και τελικά να αναπτύξουν ransomware σε ένα δίκτυο.
Το Emotet συνεχίζει τη χρήση του Cobalt Strike
Την περασμένη εβδομάδα, οι κακόβουλοι παράγοντες του Emotet ανέστειλαν τις εκστρατείες phishing και έκτοτε οι ερευνητές δεν έχουν δει καμία περαιτέρω δραστηριότητα από την ομάδα.
Δείτε ακόμα: Το Emotet διαδίδεται μέσω πλαστών πακέτων Adobe Windows App Installer
«Τα ανεπιθύμητα μηνύματα σταμάτησαν την περασμένη εβδομάδα και έκτοτε επικρατεί ηρεμία και δεν έχει συμβεί τίποτα μέχρι σήμερα», δήλωσε ο Joseph Roosen της ομάδας Cryptolaemus Emotet.
Ωστόσο, η Cryptolaemus προειδοποιεί τώρα ότι πρόσφατα άρχισαν και πάλι να εγκαθιστούν Cobalt Strike σε συσκευές που έχουν ήδη μολυνθεί από το Emotet.
Σύμφωνα με τον Roosen, η Emotet κατεβάζει τώρα τις μονάδες Cobalt Strike απευθείας από τον διακομιστή εντολών και ελέγχου της και στη συνέχεια τις εκτελεί στη μολυσμένη συσκευή.
Με τα Beacons Cobalt Strike που εγκαθίστανται απευθείας από την Emotet, οι κακόβουλοι παράγοντες που τους χρησιμοποιούν για να εξαπλωθούν πλευρικά μέσω ενός δικτύου, μπορούν να κλέψουν αρχεία και να αναπτύξουν κακόβουλο λογισμικό έχοντας άμεση πρόσβαση σε δίκτυα που έχουν παραβιαστεί.
Σε ένα δείγμα του Cobalt Strike, το κακόβουλο λογισμικό θα επικοινωνεί με τους διακομιστές εντολών και ελέγχου του εισβολέα μέσω ενός πλαστού αρχείου «jquery-3.3.1.min.js».
Κάθε φορά που το κακόβουλο λογισμικό επικοινωνεί με τον C2, θα επιχειρεί να κατεβάσει το αρχείο jQuery, το οποίο θα αλλάζει μια μεταβλητή με νέες οδηγίες κάθε φορά.
Δείτε επίσης: Anubis malware: Στοχεύει πελάτες 394 χρηματοπιστωτικών ιδρυμάτων
Καθώς το μεγαλύτερο μέρος του αρχείου είναι νόμιμος πηγαίος κώδικας jQuery και μόνο κάποιο περιεχόμενο έχει αλλάξει, συνδυάζεται με νόμιμη κυκλοφορία και διευκολύνει την παράκαμψη λογισμικού ασφαλείας.
Η ταχεία ανάπτυξη του Cobalt Strike μέσω του Emotet είναι μια σημαντική εξέλιξη που θα πρέπει να βρίσκεται στα ραντάρ όλων των διαχειριστών των Windows και του δικτύου και των επαγγελματιών ασφαλείας. Με αυτήν την αυξημένη κατανομή των beacons σε ήδη μολυσμένες συσκευές, αναμένεται ότι θα δούμε αύξηση των εταιρικών παραβιάσεων και τελικά επιθέσεων ransomware ακριβώς πριν ή κατά τη διάρκεια των διακοπών.
