تحلیل جدیدترین کمپین تبلیغاتی بدافزار Emotet

تجزیه و تحلیل عملکرد این کمپین جدید Emotet ، که کشورهای مختلف در آمریکای لاتین را با استفاده از پرونده های Microsoft Office برای مخفی کردن فعالیت مخرب خود تحت تأثیر قرار داده است. Owner:
`2021-29-March`

 

تحلیل جدیدترین کمپین تبلیغاتی Emotet

 

هرگونه کپی برداری از الگو و مطالب سایت حرام و به هیچ عنوان مورد رضایت نیست

 

 

 

با درود به کاربران و بازدید کنندگان عزیز سایت تخصصی ناد مارکت

 

خرید لایسنس نود 32

جهت خرید لایسنس اورجینال آنتی ویروس نود 32 بر روی لینک رو به رو کلیک کنید: خرید لایسنس اورجینال نود 32

 

تجزیه و تحلیل عملکرد این کمپین جدید Emotet ، که کشورهای مختلف در آمریکای لاتین را با استفاده از پرونده های Microsoft Office برای مخفی کردن فعالیت مخرب خود تحت تأثیر قرار داده است.

 

در ماه نوامبر ، ما هشدارهایی را درباره یک کمپین گسترده جدید هرزنامه که برای تبلیغ Emotet استفاده می شد ، صادر کردیم. با توجه به مقیاس حمله در برخی از کشورهای آمریکای لاتین و اینکه در طی چند روز گذشته درباره این موضوع سوالات زیادی دریافت کردیم ، تصمیم گرفتیم توضیحی مختصر درباره چگونگی عملکرد این کمپین تبلیغاتی منتشر کنیم.

 

در سالهای اخیر ما مشاهده کرده ایم که چگونه مجرمان اینترنتی از مجموعه Microsoft Office برای انتشار تهدیدات خود استفاده می کند ، از طریق ماکروهای ساده که در پرونده ها استفاده می شود ، برای استفاده از آسیب دیدگی ها استفاده می شود. به همین مناسبت ، پیاده سازی کمی غیرمعمول است و متشکل از یک بارگیری است که در یک پرونده گنجانده شده است. این باعث ایجاد سردرگمی در میان بسیاری از بین کاربران می شود و آنها از ما می خواهند روش تهدید را توضیح دهند.

انتشار با یک پیام ایمیل شروع شد ، که هیچ چیز خاصی در مورد آن نداشت. همانطور که در شکل زیر دیده می شود ، تقریباً همان نوع ایمیلی بود که ما عادت کرده ایم در این کمپین ها مشاهده کنیم.

 

فروش  نود 32

 

همانطور که انتظار داریم ، اگر کاربر تصمیم به بارگیری پیوست ایمیل و باز کردن سند از او بخواهد ماکروها را فعال کند. باز هم ، طبق معمول ، توجیهی برای این شرط ارائه می شود. شکل 2 نشان می دهد که در این حالت به طور ضمنی این امر ضروری است زیرا این سند با استفاده از Office 365 ایجاد شده است ، اما واقعاً به همین دلیل است که می تواند یک عملکرد تعبیه شده در پرونده را اجرا کند.

 

 

فروش  نود 32

 

واضح است که این رفتار قبلاً مخرب شناخته شده است. با این حال ، ترفند مورد استفاده مجرمان سایبری در این کارزار چندین ویژگی غیرمعمول دارد. اگر بخواهید به ماکرو نگاه کنید ، متوجه می شوید که خیلی بزرگ نیست و در نگاه اول ، به نظر نمی رسد یکی از ماکروهای شناخته شده ای باشد که سعی می کند برای بارگیری برخی مطالب به وب سایت متصل شود ... یا نه؟

 

فروش  نود 32

 

با نگاهی به ماکرو ، آنچه به وضوح برجسته است این است که عملکرد آن خواندن متن از یک شی است. اما این شی در کجا واقع شده است؟ پس از جستجوی آن ، مشخص می شود که یک شی object کاملاً غیر قابل مشاهده در صفحه وجود دارد. اگر به سمت چپ و بالای صفحه در شکل 2 دقت کنید ، می بینید که جعبه ای بسیار کوچک ، مربع وجود دارد. اگر این مورد را گسترش دهید ، می توانید ببینید چه چیزی حاوی آن است.

 

فروش  نود 32

 

به طور موثر ، این جعبه متن شامل یک دستور "cmd" است ، که یک اسکریپت PowerShell را راه اندازی می کند که سعی می کند به پنج سایت متصل شود و سپس محموله را بارگیری کند ، که در این مورد یک نوع گیج کننده Emotet است.

پایداری را بر روی رایانه ایجاد کرده و موفقیت خود را به سرور C&C خود گزارش می دهد. پس از اتمام این آلودگی اولیه ، بارگیری های بیشتری می تواند رخ دهد ، ماژول های حمله و محموله های ثانویه را نصب می کند که انواع دیگر اقدامات را در رایانه آسیب دیده انجام می دهد.

ماژول های اضافی مختلف دامنه فعالیت های مخربی را که می تواند دستگاه کاربر را به خطر بیاندازد ، به منظور سرقت اطلاعات ، انتشار در شبکه ، برداشت اطلاعات حساس ، انجام انتقال پورت و بسیاری از امکانات دیگر ، گسترش می دهد.

اگرچه به هیچ وجه تکنیکی جدید نیست ، اما این تغییر کوچک در نحوه پنهان کاری Emotet در پرونده Word نشان می دهد که مجرمان سایبری اب زیر کاه می توانند هنگام پنهان کردن فعالیت های مخرب خود و تلاش برای به خطر انداختن اطلاعات کاربر ، چگونه باشند. همیشه آگاهی از انواع تکنیک هایی که ممکن است استفاده کنند ، باعث می شود مدافعان در شناسایی این کارزارهای مخرب یک مزیت داشته باشند.

 

سایت نادمارکت فعالیت خود را از سال 94 با ارائه آنتی ویروس و نرم افزار آغاز نموده و توانست با ارائه خدمات موثر به یکی از برترین و بزرگترین ارائه دهنده محصولات اورجینال آنتی ویروس تبدیل شود، تا محصولات متنوع و اورجینال را به کاربران ارائه دهد. کارشناسان نادمارکت با پشتیبانی فنی و قدرتمند پاسخگوی همیشگی نیاز های کاربران عزیز جهت بهترین راهنمایی ها و راهکارها در قالب محصولات اورجینال هستند.

لطفا قبل از هر گونه سوالی قسمت سوالات متداول مطالعه شود، به صورت کلی ما مشتاقانه آماده هستیم، تا تمام سوالات و نیازهای شما را پاسخگو باشیم.

تلگرام: ID = @nodmarket (فقط ارسال پیام)
وآتس آپ: 09338809387 (فقط ارسال پیام)
تماس 1: 09338809387
تماس 2: 01334556373

enamad