ΑρχικήSecurityEmotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Το κακόβουλο λογισμικό Emotet μεταφέρεται με την χρήση συνημμένων σε email μέσω Microsoft OneNote, στοχεύοντας να περάσει από τους περιορισμούς ασφαλείας της Microsoft και να μολύνει τα θύματα.

Emotet malware: Μεταφέρθηκε στο OneNote

Το Emotet είναι ένα κακόβουλο botnet το οποίο παλαιότερα μεταφερόταν μέσω συνημμένων Microsoft Word και Excel που περιλάμβαναν κακόβουλες μακροεντολές. Αν ένας χρήστης άνοιγε το συνημμένο και ενεργοποιούσε τις μακροεντολές, ένα DLL θα κατέβαινε και θα εκκινούσε μια εγκατάσταση του Emotet malware στην συσκευή.

Από τη στιγμή που θα φορτώσει το malware, θα αρχίσει να κλέβει email επαφές και περιεχόμενο για χρήση σε μελλοντικά spam. Επιπλέον, θα κατεβάσει και επιπλέον φορτίο που θα χρησιμοποιηθεί για να παρέχει πρόσβαση στο δίκτυο της εταιρίας. Αυτή η πρόσβαση χρησιμοποιείται για κυβερνοεπιθέσεις στις εταιρίες, που περιλαμβάνουν επιθέσεις ransomware, κλοπή δεδομένων, διαδικτυακή κατασκοπεία και εκβιασμό.

Δείτε επίσης: Winter Vivern hackers χρησιμοποιούν fake antivirus scanners για διανομή malware

#secnews #microsoft
Learn the shocking truth about Microsoft and Crowdstrike in this eye-opening video. Discover how their actions impact Greece and the rest of the world.
Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;
Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.
Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;
Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/
Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

#secnews #microsoft

Ποιοι λόγοι κρύβονται πίσω από τη διακοπή στις υπηρεσίες της Microsoft και πώς επηρεάζεται ο κόσμος;

Τις τελευταίες ώρες, χρήστες και επιχειρήσεις σε όλο τον κόσμο, αντιμετωπίζουν προβλήματα και διακοπές σε υπηρεσίες της Microsoft, συμπεριλαμβανομένων των Microsoft 365 και Azure. Επίσης, προβλήματα υπήρξαν και με τη λειτουργία των Windows συστημάτων.

Ποια είναι η αιτία αυτών των διακοπών και πώς επηρεάστηκε η Ελλάδα;

Μάθετε περισσότερα: https://www.secnews.gr/609071/ti-symvainei-me-thn-ellada-kai-to-blackout-ths-microsoft/

Παρακολουθήστε αυτό το βίντεο για να μάθετε τα πάντα για αυτήν την επίθεση και τι πρέπει να κάνετε για να προστατεύσετε τα δεδομένα σας. #MicrosoftΔιακοπή #ΔιακοπήΥπηρεσιών #ΠροστασίαΔεδομένων #Κυβερνοασφάλεια #ΕπιτήρησηΔικτύου #ΠροστασίαΕταιρειών #ΑσφάλειαΔεδομένων #ΔιαδικτυακήΧωροφυλακή #ΠροστασίαΥποδομών #Κυβερνοαπειλές

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Llhsc0xwNDBseUtr

The Shocking Truth: Microsoft and Crowdstrike Exposed

SecNewsTV19 Ιουλίου 2024, 22:37 22:37

Μετά από 3 μήνες αδράνειας, το Emotet botnet εμφανίστηκε ξαφνικά μέσα από κακόβουλα email διεθνώς.

Παρόλα αυτά, η αρχική τους καμπάνια δεν ήταν επιτυχής λόγω της συνεχομένης χρήσης μακροεντολών σε Word και Excel, με αποτέλεσμα η Microsoft να λάβει μέτρα και να μπλοκάρει τις μακροεντολές σε όλες τις μορφές συνημμένων στις υπηρεσίες αυτές.

Η αλλαγή σε Microsoft OneNote

Σε μια καμπάνια της Emotet που πρωτοανακαλύφθηκε από τον ερευνητή ασφαλείας Abel, οι χάκερς άρχισαν να διαδίδουν το malware χρησιμοποιώντας τα συνημμένα του Microsoft OneNote.

Αυτά τα συνημμένα μεταφέρονται μέσω reply-chains emails που υποδύονται οδηγούς, how-to, invoices, αναφορές εργασίας κλπ.

Microsoft email

Βρίσκονται συνημμένα στο email Microsoft OneNote αρχεία που εμφανίζουν ένα μήνυμα πως το αρχείο είναι προστατευμένο. Μετά σας δίνει την δυνατότητα να πατήσετε View για να εμφανίσετε το αρχείο κανονικά.

Microsoft OneNote

Το Microsoft OneNote σας δίνει τη δυνατότητα να δημιουργείτε αρχεία που περιέχουν σχέδια που επικαλύπτουν ένα ενσωματωμένο έγγραφο. Παρόλα αυτά ακόμα και καλυμμένο να είναι το έγγραφο, όπου και να βρίσκεται, θα αρχίσει να εκτελείται από τη στιγμή που θα πατήσετε εκεί που είναι.

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Πρόταση: QakNote: Διανομή του QBot malware μέσω Microsoft OneNote files

Το παρακάτω VBScript περιλαμβάνει ένα βαρύ θολό script που κατεβάζει DLL απομακρυσμένα, από πιθανόν κάποια ιστοσελίδα παραβιασμένη και ύστερα το εκτελεί.

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Αν και το Microsoft OneNote θα εμφανίσει ένα παράθυρο με προειδοποίηση όταν θα προσπαθήσει ο χρήστης να ανοίξει το ενσωματωμένο αρχείο, η ιστορία δείχνει πως πολλοί χρήστες πατάνε ΟΚ για να ξεφορτωθούν την ειδοποίηση.

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Αν λοιπόν οι χρήστες πατήσουν το OK το ενσωματωμένο click.wsf VBScript αρχείο θα εκτελεστεί χρησιμοποιώντας το WScript.exe από τον φάκελο temp του OneNote, ο οποίος είναι διαφορετικός για κάθε χρήστη.

"%Temp%\OneNote\16.0\Exported\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf"

Το script τότε θα κατεβάσει το Emotet malware ως DLL και θα αποθηκευτεί στον φάκελο temp. Τότε θα εκτελέσει το τυχαίο με όνομα DLL χρησιμοποιώντας regsvr32.exe.

Το Emotet τότε θα αρχίσει να κλέβει δεδομένα περιμένοντας για επιπλέον εντολές από το command and control server. Αν και δεν είναι γνωστό τι φορτία εν τέλει αφήνει, συνήθως χρησιμοποιούνται για Cobalt Strike ή άλλα malware που εγκαθίστανται. Τα φορτία αυτά επιπλέον χρησιμοποιούνται για να αποκτήσουν πρόσβαση οι χάκερς στην συσκευή και να διαδώσουν το malware στο δίκτυο.  

Μπλοκάρισμα των κακόβουλων Microsoft OneNote αρχείων

Λόγω της μεγάλης διάδοσης κακόβουλων αρχείων που έχει εντοπίσει το τελευταίο καιρό η Microsoft θα προσθέσει επιπλέον προστασία στο OneNote ενάντια στα αρχεία phishing αλλά δεν υπάρχει συγκεκριμένο timeline για το πότε θα είναι διαθέσιμο σε όλους. Παρόλα αυτά, οι χρήστες των Windows μπορούν να βοηθηθούν μέσω των group policies για την αντιμετώπιση των κακόβουλων Microsoft OneNote αρχείων. Οι διαχειριστές μπορούν να τις χρησιμοποιήσουν για να μπλοκάρουν τα ενσωματωμένα αρχεία ολοκληρωτικά ή να μπλοκαριστούν μόνο συγκεκριμένα extensions από αρχεία.

Microsoft OneNote

Διαβάστε επίσης: Αυξάνεται η χρήση των εγγράφων Microsoft OneNote για την παράδοση malware

Είναι καίριας σημασίας οι διαχειριστές να εκμεταλλευτούν αυτά τα policies για επιπλέον ασφάλεια στο OneNote.

πηγή πληροφοριών: bleepingcomputer.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS