Các cuộc tấn công phần mềm độc hại Emotet quay trở lại sau ba tháng tạm nghỉ

Hoạt động của phần mềm độc hại Emotet một lần nữa gửi thư rác các email độc hại vào sáng thứ Ba sau ba tháng gián đoạn, xây dựng lại mạng của nó và lây nhiễm các thiết bị trên toàn thế giới.

Emotet là một phần mềm độc hại khét tiếng được phát tán qua email chứa các tệp đính kèm tài liệu Microsoft Word và Excel độc hại. Khi người dùng mở các tài liệu này và macro được bật, Emotet DLL sẽ được tải xuống và tải vào bộ nhớ.

Sau khi Emotet được tải, phần mềm độc hại sẽ nằm im lặng, chờ hướng dẫn từ máy chủ điều khiển và chỉ huy từ xa.

Cuối cùng, phần mềm độc hại sẽ đánh cắp email và danh bạ của nạn nhân để sử dụng trong các chiến dịch Emotet trong tương lai hoặc tải xuống các tải trọng bổ sung như  Cobalt Strike  hoặc phần mềm độc hại khác thường dẫn đến các cuộc tấn công ransomware.

Mặc dù Emotet từng được coi là phần mềm độc hại được phân phối nhiều nhất trong quá khứ, nhưng nó đã dần chậm lại, với hoạt động gửi thư rác lần cuối được nhìn thấy vào tháng 11 năm 2022. Tuy nhiên, ngay cả khi đó, việc gửi thư rác cũng chỉ kéo dài hai tuần.

Emotet trở lại vào năm 2023

Hôm nay, công ty an ninh mạng Cofense và nhóm theo dõi Emotet Cryptolaemus đã cảnh báo rằng botnet Emotet một lần nữa đã tiếp tục gửi email.

Thay vì sử dụng các email chuỗi trả lời như trong chiến dịch trước, những kẻ đe dọa đang sử dụng các email giả vờ là hóa đơn, như được hiển thị bên dưới.

Email lừa đảo Emotet

Đính kèm với những email này là các kho lưu trữ ZIP chứa các tài liệu Word bị thổi phồng có kích thước trên 500 MB. Chúng được đệm bằng dữ liệu không sử dụng để làm cho các tệp lớn hơn và khó hơn để các giải pháp chống vi-rút quét và phát hiện chúng là tệp độc hại.

Các tài liệu Microsoft Word này sử dụng mẫu tài liệu ' Red Dawn ' của Emotet , nhắc người dùng bật nội dung trên tài liệu để xem chính xác.

Tài liệu Microsoft Word độc hại sử dụng mẫu Red Dawn

Các tài liệu này chứa một đống macro sẽ tải xuống trình tải Emotet dưới dạng DLL từ các trang web bị xâm nhập, nhiều trong số đó là các blog WordPress bị tấn công. 

Một đống macro độc hại trong tài liệu Emotet Word

Khi được tải xuống, Emotet sẽ được lưu vào một thư mục có tên ngẫu nhiên trong %LocalAppData% và được khởi chạy bằng regsvr32.exe.

Trình tải Emotet do Regsvr32.exe khởi chạy

Giống như tài liệu Word, Emotet DLL cũng đã được đệm thành 526MB để cản trở khả năng phát hiện nó là độc hại của phần mềm chống vi-rút.

Kỹ thuật trốn tránh này cho thấy thành công, như được minh họa trong  quá trình quét VirusTotal  trong đó phần mềm độc hại chỉ được phát hiện bởi một nhà cung cấp bảo mật trong số 64 công cụ, với nhà cung cấp đó chỉ phát hiện phần mềm độc hại là 'Malware.SwollenFile'.

DLL Emotet lớn để tránh bị phát hiện

Sau khi chạy, phần mềm độc hại sẽ chạy trong nền, chờ lệnh, có khả năng sẽ cài đặt thêm tải trọng trên thiết bị

Tải trọng cho phép các tác nhân đe dọa khác truy cập từ xa vào thiết bị, sau đó được sử dụng để phát tán xa hơn trong mạng bị xâm nhập.

Các cuộc tấn công này thường dẫn đến đánh cắp dữ liệu và tấn công ransomware toàn diện vào các mạng bị vi phạm.

Cofense nói rằng hiện tại họ chưa thấy bất kỳ tải trọng bổ sung nào bị loại bỏ và phần mềm độc hại chỉ đang thu thập dữ liệu cho các chiến dịch thư rác trong tương lai.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.