تحلیل جدیدترین کمپین تبلیغاتی بدافزار Emotet

29
March
2021
تحلیل جدیدترین کمپین تبلیغاتی Emotet
با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی ناد مارکت

جهت خرید لایسنس اورجینال آنتی ویروس نود 32 بر روی لینک رو به رو کلیک کنید: خرید لایسنس اورجینال نود 32
تجزیه و تحلیل عملکرد این کمپین جدید Emotet ، که کشورهای مختلف در آمریکای لاتین را با استفاده از پرونده های Microsoft Office برای مخفی کردن فعالیت مخرب خود تحت تأثیر قرار داده است.
در ماه نوامبر ، ما هشدارهایی را درباره یک کمپین گسترده جدید هرزنامه که برای تبلیغ Emotet استفاده می شد ، صادر کردیم. با توجه به مقیاس حمله در برخی از کشورهای آمریکای لاتین و اینکه در طی چند روز گذشته درباره این موضوع سوالات زیادی دریافت کردیم ، تصمیم گرفتیم توضیحی مختصر درباره چگونگی عملکرد این کمپین تبلیغاتی منتشر کنیم.
در سالهای اخیر ما مشاهده کرده ایم که چگونه مجرمان اینترنتی از مجموعه Microsoft Office برای انتشار تهدیدات خود استفاده می کند ، از طریق ماکروهای ساده که در پرونده ها استفاده می شود ، برای استفاده از آسیب دیدگی ها استفاده می شود. به همین مناسبت ، پیاده سازی کمی غیرمعمول است و متشکل از یک بارگیری است که در یک پرونده گنجانده شده است. این باعث ایجاد سردرگمی در میان بسیاری از بین کاربران می شود و آنها از ما می خواهند روش تهدید را توضیح دهند.
انتشار با یک پیام ایمیل شروع شد ، که هیچ چیز خاصی در مورد آن نداشت. همانطور که در شکل زیر دیده می شود ، تقریباً همان نوع ایمیلی بود که ما عادت کرده ایم در این کمپین ها مشاهده کنیم.

همانطور که انتظار داریم ، اگر کاربر تصمیم به بارگیری پیوست ایمیل و باز کردن سند از او بخواهد ماکروها را فعال کند. باز هم ، طبق معمول ، توجیهی برای این شرط ارائه می شود. شکل 2 نشان می دهد که در این حالت به طور ضمنی این امر ضروری است زیرا این سند با استفاده از Office 365 ایجاد شده است ، اما واقعاً به همین دلیل است که می تواند یک عملکرد تعبیه شده در پرونده را اجرا کند.

واضح است که این رفتار قبلاً مخرب شناخته شده است. با این حال ، ترفند مورد استفاده مجرمان سایبری در این کارزار چندین ویژگی غیرمعمول دارد. اگر بخواهید به ماکرو نگاه کنید ، متوجه می شوید که خیلی بزرگ نیست و در نگاه اول ، به نظر نمی رسد یکی از ماکروهای شناخته شده ای باشد که سعی می کند برای بارگیری برخی مطالب به وب سایت متصل شود ... یا نه؟

با نگاهی به ماکرو ، آنچه به وضوح برجسته است این است که عملکرد آن خواندن متن از یک شی است. اما این شی در کجا واقع شده است؟ پس از جستجوی آن ، مشخص می شود که یک شی object کاملاً غیر قابل مشاهده در صفحه وجود دارد. اگر به سمت چپ و بالای صفحه در شکل 2 دقت کنید ، می بینید که جعبه ای بسیار کوچک ، مربع وجود دارد. اگر این مورد را گسترش دهید ، می توانید ببینید چه چیزی حاوی آن است.

به طور موثر ، این جعبه متن شامل یک دستور "cmd" است ، که یک اسکریپت PowerShell را راه اندازی می کند که سعی می کند به پنج سایت متصل شود و سپس محموله را بارگیری کند ، که در این مورد یک نوع گیج کننده Emotet است.
پایداری را بر روی رایانه ایجاد کرده و موفقیت خود را به سرور C&C خود گزارش می دهد. پس از اتمام این آلودگی اولیه ، بارگیری های بیشتری می تواند رخ دهد ، ماژول های حمله و محموله های ثانویه را نصب می کند که انواع دیگر اقدامات را در رایانه آسیب دیده انجام می دهد.
ماژول های اضافی مختلف دامنه فعالیت های مخربی را که می تواند دستگاه کاربر را به خطر بیاندازد ، به منظور سرقت اطلاعات ، انتشار در شبکه ، برداشت اطلاعات حساس ، انجام انتقال پورت و بسیاری از امکانات دیگر ، گسترش می دهد.
اگرچه به هیچ وجه تکنیکی جدید نیست ، اما این تغییر کوچک در نحوه پنهان کاری Emotet در پرونده Word نشان می دهد که مجرمان سایبری اب زیر کاه می توانند هنگام پنهان کردن فعالیت های مخرب خود و تلاش برای به خطر انداختن اطلاعات کاربر ، چگونه باشند. همیشه آگاهی از انواع تکنیک هایی که ممکن است استفاده کنند ، باعث می شود مدافعان در شناسایی این کارزارهای مخرب یک مزیت داشته باشند.