Emotet BotNet, kurban bilgisayarlarını enfekte etmek için PowerShell komutları içeren Windows kısayol dosyalarını (.lnk) kullanıyor ve şimdi varsayılan olarak devre dışı bırakılan Microsoft Office makrolarından uzaklaşıyor.
Emotet çetesi, yükü indiren bir komut oluşturmak için daha önce Visual Basic Script (VBS) kodu ile bir kombinasyon halinde kullandığı için .lnk dosyalarının kullanımı yeni değildir. Ancak, bu, PowerShell komutlarını doğrudan yürütmek için ilk kez Windows kısayollarını kullanırlar.
Geçen Cuma, Emotet operatörleri, kötü amaçlı .lnk kısayoluna başvurmak için statik bir dosya adı kullandıktan sonra yükleyicilerini bokladıkları için bir kimlik avı kampanyasına takıldı.
Kısayolun başlatılması, bir VBS kodu dizisini çıkaran ve yürütmek için bir VBS dosyasına ekleyen bir komutu tetikler.
Ancak, dağıtılmış kısayol dosyalarının aradıkları statik dosyalardan farklı bir ada sahip olduğundan, VBS dosyasını doğru bir şekilde oluşturamaz. Çete sorunu dün düzeltti.
Günümüzde güvenlik araştırmacıları, Emotet'in enfekte olmuş bilgisayarda bir komut dosyasını indirmek ve yürütmek için LNK dosyasına ekli PowerShell komutlarını kullanan yeni bir tekniğe geçtiğini fark ettiler.
.Lnk dosyasına eklenen kötü amaçlı dize, dosyanın özellikleri iletişim kutusunun hedef alanında (kısayol işaretleri) gösterilmeyecek şekilde nulls (boş alan) ile doludur ve yastıklıdır.
Emotet’in kötü niyetli .lnk dosyası, PowerShell komut dosyası yükünü depolamak için kullanılan birkaç uzlaşmacı web sitesi için URL'ler içerir. Komut dosyası tanımlanan konumlardan birinde mevcutsa, sistemin geçici klasörüne rastgele bir ada sahip bir PowerShell betiği olarak indirilir.
Aşağıda, .lnk yüküne bağlı kötü amaçlı dize emotetinin bozulmuş sürümü:
Bu komut dosyası, Emotet kötü amaçlı yazılımını tehlikeye atılan sitelerin bir listesinden indiren ve % Temp % klasörüne kaydeden başka bir PowerShell betiği oluşturur ve başlatır. İndirilen DLL daha sonra regsvr32.exe komutu kullanılarak yürütülür.
PowerShell komut dosyasının yürütülmesi, regsvr32.exe komut satırı yardımcı programı kullanılarak yapılır ve Emotet kötü amaçlı yazılımları indirip başlatma ile biter.
Güvenlik araştırmacısı Max Malyutin, LNK dosyalarında PowerShell'i kullanmanın yanı sıra, bu yürütme akışının Emotet kötü amaçlı yazılım dağıtımında yeni olduğunu söylüyor.
Emotet etkinliğini yakından izleyen Cryptolaemus araştırmacı grubu, yeni tekniğin tehdit aktöründen savunmaları ve otomatik algılamaya geçmeye kadar açık bir girişim olduğunu belirtiyor.
Siber güvenlik şirketi ESET'teki güvenlik araştırmacıları, yeni Emotet tekniğinin kullanımının son 24 saat içinde arttığını fark ettiler.
ESET’in telemetri verileri, yeni teknik aracılığıyla EMOTET'ten en çok etkilenen ülkelerin Meksika, İtalya, Japonya, Türkiye ve Kanada olduğunu göstermektedir.
.Lnk dosyalarında PowerShell'e geçmenin yanı sıra, Emotet Botnet operatörleri, 64 bit modüllere geçmek gibi Kasım ayında etkinliği daha istikrarlı seviyelere sürdürdükleri için birkaç değişiklik daha yaptı.
Kötü amaçlı yazılım genellikle diğer kötü amaçlı yazılımlar, özellikle Conti gibi fidye yazılımı tehditleri için bir ağ geçidi olarak kullanılır.
Emotet kötü amaçlı yazılım, kırık yükleyiciyi düzelttikten sonra kullanıcıları tekrar bulaşır
Emotet Botnet 64 bit modüllere geçiş yapar, etkinliği artırır
Google Play eklemek için Windows 11 Aracı gizlice yüklü kötü amaçlı yazılım
Bu PowerShell Eğitim Paketi ile Microsoft Windows görevlerini otomatikleştirin
Fin7 Hacker'ları Evolve Araç Seti, Birden Fidye Yazılımı Çetesi ile Çalışın
Kaynak: Bleeping Computer