Emotet теперь использует социальную инженерию для взлома систем
Emotet теперь использует социальную инженерию для взлома систем. Фото: СС0
Спам-активность Emotet резко возросла с начала года после трехмесячного периода низкой активности, утверждают исследователи.
Ускорение атак было вызвано возрождением ботнета Epoch 4, который использовался для доставки вредоносных документов, прикрепленных к, казалось бы, законным электронным письмам.
Было обнаружено, что эта последняя версия Emotet имитирует ответы в существующих цепочках электронной почты и ветках, обманывая пользователей, заставляя их поверить, что вредоносный контент был из предыдущего разговора.
Из сообщения исследователей Trend Micro:
«Эти типы электронных писем часто сочетаются с методами социальной инженерии, которые предназначены для того, чтобы получатели щелкнули ссылку или загрузили вложение, содержащее вредоносное ПО».
Было обнаружено, что вредоносные электронные письма в этой последней кампании Emotet содержат вложение .zip. По словам исследователей, после открытия архив предоставляет документ Word, который обманом заставляет пользователя активировать вредоносный макрос.
Хотя команда Microsoft отключила макросы VBA в Windows по умолчанию в 2022 году, вредоносные документы Emotet «используют методы социальной инженерии, чтобы обмануть пользователей, заставив их включить макросы, чтобы атака шла по назначению».
Наконец, после включения этот макрос загружает вредоносную полезную нагрузку (DLL) для заражения устройства.
Основная проблема в этой кампании заключается в том, что эта итерация Emotet использует файлы большого размера для обхода проверок безопасности и процессов защиты конечных точек. По словам исследователей, каждое вредоносное электронное письмо включает в себя zip-файл размером 600 КБ, который содержит документ Word размером более 500 МБ.
Двоичное заполнение не является необычным методом запутывания вредоносного ПО. Оно пытается использовать ограничения размера файла в продуктах безопасности, увеличивая размеры файлов вредоносной полезной нагрузки — метод, который может заставить инструменты сканирования полностью обойти файл.
Из сообщения исследователей Trend Micro:
«Злоумышленники используют сжатие zip для передачи относительно небольших файлов по электронной почте и HTTP, прежде чем использовать распаковку для увеличения файлов, чтобы обойти решения безопасности. Наконец, разведывательные действия выполняются либо через IP-конфигурации, либо через системную информацию пострадавшей машины».
Исследователи Trend Micro заявили, что Emotet «множественной и устойчивой» угрозой для организаций во всем мире.
В Trend Micro предположили, что организации будут продолжать сталкиваться с растущими угрозами со стороны Emotet в ближайшие месяцы, отметив, что «неудивительно, что в будущих атаках он будет развиваться дальше» за счет использования альтернативных методов доставки вредоносного ПО.
Также ожидается, что злоумышленники примут новые методы уклонения и интегрируют в зловред «дополнительные полезные нагрузки второго и даже третьего уровня».
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
22498
Комментариев пока не было