ΑρχικήsecurityEmotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Το κακόβουλο λογισμικό Emotet μεταφέρεται με την χρήση συνημμένων σε email μέσω Microsoft OneNote, στοχεύοντας να περάσει από τους περιορισμούς ασφαλείας της Microsoft και να μολύνει τα θύματα.

Emotet malware: Μεταφέρθηκε στο OneNote

Το Emotet είναι ένα κακόβουλο botnet το οποίο παλαιότερα μεταφερόταν μέσω συνημμένων Microsoft Word και Excel που περιλάμβαναν κακόβουλες μακροεντολές. Αν ένας χρήστης άνοιγε το συνημμένο και ενεργοποιούσε τις μακροεντολές, ένα DLL θα κατέβαινε και θα εκκινούσε μια εγκατάσταση του Emotet malware στην συσκευή.

Από τη στιγμή που θα φορτώσει το malware, θα αρχίσει να κλέβει email επαφές και περιεχόμενο για χρήση σε μελλοντικά spam. Επιπλέον, θα κατεβάσει και επιπλέον φορτίο που θα χρησιμοποιηθεί για να παρέχει πρόσβαση στο δίκτυο της εταιρίας. Αυτή η πρόσβαση χρησιμοποιείται για κυβερνοεπιθέσεις στις εταιρίες, που περιλαμβάνουν επιθέσεις ransomware, κλοπή δεδομένων, διαδικτυακή κατασκοπεία και εκβιασμό.

Δείτε επίσης: Winter Vivern hackers χρησιμοποιούν fake antivirus scanners για διανομή malware

Μετά από 3 μήνες αδράνειας, το Emotet botnet εμφανίστηκε ξαφνικά μέσα από κακόβουλα email διεθνώς.

Παρόλα αυτά, η αρχική τους καμπάνια δεν ήταν επιτυχής λόγω της συνεχομένης χρήσης μακροεντολών σε Word και Excel, με αποτέλεσμα η Microsoft να λάβει μέτρα και να μπλοκάρει τις μακροεντολές σε όλες τις μορφές συνημμένων στις υπηρεσίες αυτές.

Η αλλαγή σε Microsoft OneNote

Σε μια καμπάνια της Emotet που πρωτοανακαλύφθηκε από τον ερευνητή ασφαλείας Abel, οι χάκερς άρχισαν να διαδίδουν το malware χρησιμοποιώντας τα συνημμένα του Microsoft OneNote.

Αυτά τα συνημμένα μεταφέρονται μέσω reply-chains emails που υποδύονται οδηγούς, how-to, invoices, αναφορές εργασίας κλπ.

Microsoft email

Βρίσκονται συνημμένα στο email Microsoft OneNote αρχεία που εμφανίζουν ένα μήνυμα πως το αρχείο είναι προστατευμένο. Μετά σας δίνει την δυνατότητα να πατήσετε View για να εμφανίσετε το αρχείο κανονικά.

Microsoft OneNote

Το Microsoft OneNote σας δίνει τη δυνατότητα να δημιουργείτε αρχεία που περιέχουν σχέδια που επικαλύπτουν ένα ενσωματωμένο έγγραφο. Παρόλα αυτά ακόμα και καλυμμένο να είναι το έγγραφο, όπου και να βρίσκεται, θα αρχίσει να εκτελείται από τη στιγμή που θα πατήσετε εκεί που είναι.

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Πρόταση: QakNote: Διανομή του QBot malware μέσω Microsoft OneNote files

Το παρακάτω VBScript περιλαμβάνει ένα βαρύ θολό script που κατεβάζει DLL απομακρυσμένα, από πιθανόν κάποια ιστοσελίδα παραβιασμένη και ύστερα το εκτελεί.

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Αν και το Microsoft OneNote θα εμφανίσει ένα παράθυρο με προειδοποίηση όταν θα προσπαθήσει ο χρήστης να ανοίξει το ενσωματωμένο αρχείο, η ιστορία δείχνει πως πολλοί χρήστες πατάνε ΟΚ για να ξεφορτωθούν την ειδοποίηση.

Emotet malware: Διανέμεται σε αρχεία Microsoft OneNote

Αν λοιπόν οι χρήστες πατήσουν το OK το ενσωματωμένο click.wsf VBScript αρχείο θα εκτελεστεί χρησιμοποιώντας το WScript.exe από τον φάκελο temp του OneNote, ο οποίος είναι διαφορετικός για κάθε χρήστη.

"%Temp%\OneNote\16.0\Exported\{E2124F1B-FFEA-4F6E-AD1C-F70780DF3667}\NT\0\click.wsf"

Το script τότε θα κατεβάσει το Emotet malware ως DLL και θα αποθηκευτεί στον φάκελο temp. Τότε θα εκτελέσει το τυχαίο με όνομα DLL χρησιμοποιώντας regsvr32.exe.

Το Emotet τότε θα αρχίσει να κλέβει δεδομένα περιμένοντας για επιπλέον εντολές από το command and control server. Αν και δεν είναι γνωστό τι φορτία εν τέλει αφήνει, συνήθως χρησιμοποιούνται για Cobalt Strike ή άλλα malware που εγκαθίστανται. Τα φορτία αυτά επιπλέον χρησιμοποιούνται για να αποκτήσουν πρόσβαση οι χάκερς στην συσκευή και να διαδώσουν το malware στο δίκτυο.  

Μπλοκάρισμα των κακόβουλων Microsoft OneNote αρχείων

Λόγω της μεγάλης διάδοσης κακόβουλων αρχείων που έχει εντοπίσει το τελευταίο καιρό η Microsoft θα προσθέσει επιπλέον προστασία στο OneNote ενάντια στα αρχεία phishing αλλά δεν υπάρχει συγκεκριμένο timeline για το πότε θα είναι διαθέσιμο σε όλους. Παρόλα αυτά, οι χρήστες των Windows μπορούν να βοηθηθούν μέσω των group policies για την αντιμετώπιση των κακόβουλων Microsoft OneNote αρχείων. Οι διαχειριστές μπορούν να τις χρησιμοποιήσουν για να μπλοκάρουν τα ενσωματωμένα αρχεία ολοκληρωτικά ή να μπλοκαριστούν μόνο συγκεκριμένα extensions από αρχεία.

Microsoft OneNote

Διαβάστε επίσης: Αυξάνεται η χρήση των εγγράφων Microsoft OneNote για την παράδοση malware

Είναι καίριας σημασίας οι διαχειριστές να εκμεταλλευτούν αυτά τα policies για επιπλέον ασφάλεια στο OneNote.

πηγή πληροφοριών: bleepingcomputer.com

SecNews
SecNewshttps://www.secnews.gr
In a world without fences and walls, who need Gates and Windows

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS