Emotet kötü amaçlı yazılımları artık Microsoft güvenlik kısıtlamalarını atlamayı ve daha fazla hedefe bulaşmayı amaçlayan Microsoft OneNote e -posta ekleri kullanılarak dağıtılıyor.
EMOTET, tarihsel olarak Microsoft Word ve Masal Makrolar içeren Excel ekleri aracılığıyla dağıtılan kötü şöhretli bir kötü amaçlı yazılımdır. Bir kullanıcı eki açar ve makroları etkinleştirirse, Emotet kötü amaçlı yazılımını cihaza yükleyen bir DLL indirilir ve yürütülür.
Yüklendikten sonra, kötü amaçlı yazılım, gelecekteki spam kampanyalarında kullanılmak üzere e -posta kişileri ve e -posta içeriğini çalacaktır. Ayrıca kurumsal ağa ilk erişim sağlayan diğer yükleri de indirecektir.
Bu erişim, fidye yazılımı saldırıları, veri hırsızlığı, siber casusluk ve gasp içerebilecek şirkete karşı siber saldırılar yapmak için kullanılır.
Emotet geçmişte en dağıtılmış kötü amaçlı yazılımlardan biri olsa da, geçtiğimiz yıl boyunca durur ve ataklarda başlar ve sonuçta 2022'nin sonuna doğru bir mola verirdi.
Üç ay süren hareketsizlikten sonra, Emotet Botnet aniden geri döndü ve bu ayın başlarında dünya çapında kötü niyetli e -postalar attı.
Ancak, bu ilk kampanya, makro ile Word ve Excel belgelerini kullanmaya devam ettiği için kusurluydu. Microsoft, e -postalara eklenenler de dahil olmak üzere indirilen Word ve Excel belgelerindeki makroları otomatik olarak engellediğinden, bu kampanya yalnızca birkaç kişiyi enfekte edecektir.
Bu nedenle, BleepingComputer, Emotet'in Microsoft'un makroları engellemeye başladıktan sonra kötü amaçlı yazılımları dağıtmak için popüler bir yöntem haline gelen Microsoft OneNote dosyalarına geçeceğini tahmin etti.
Tahmin edildiği gibi, ilk olarak güvenlik araştırmacısı Abel tarafından tespit edilen bir Emotet spam kampanyasında, tehdit aktörleri artık Emotet kötü amaçlı yazılımını kötü niyetli Microsoft OneNote eklerini kullanarak dağıtmaya başladı.
Bu ekler, kılavuzları, nasıl TOS, faturalar, iş referansları ve daha fazlasını taklit eden yanıt zinciri e-postalarına dağıtılır.
E -postaya, belgenin korunduğunu belirten bir mesaj görüntüleyen Microsoft OneNote belgeleri eklenir. Daha sonra, belgeyi düzgün görüntülemek için 'Görünüm' düğmesini çift tıklamanızı ister.
Microsoft OneNote, gömülü bir belgeyi kaplayan tasarım öğeleri içeren belgeler oluşturmanıza olanak tanır. Ancak, gömülü dosyanın bulunduğu konuma çift tıkladığınızda, üzerinde bir tasarım öğesi olsa bile, dosya başlatılır.
Bu EMOTET kötü amaçlı yazılım kampanyasında, tehdit aktörleri, aşağıda gösterildiği gibi "Görünüm" düğmesinin altında 'Click.wsf' adlı kötü amaçlı bir VBScript dosyasını gizledi.
Bu VBScript, bir DLL'yi uzaktan, muhtemelen tehlikeye atılmış bir web sitesinden indiren ve daha sonra yürüten yoğun bir şekilde gizlenmiş bir komut dosyası içerir.
Microsoft Onenote, bir kullanıcı OneNote'da gömülü bir dosya başlatmaya çalıştığında bir uyarı görüntüleyecek olsa da, geçmiş bize birçok kullanıcının uyarıdan kurtulmak için genellikle 'Tamam' düğmelerini tıkladığını göstermiştir.
Kullanıcı OK düğmesine tıklarsa, gömülü click.wsf vbscript dosyası, her kullanıcı için muhtemelen farklı olacak olan OneNote'un sıcaklık klasöründen wscript.exe kullanılarak yürütülür:
Komut dosyası daha sonra Emotet kötü amaçlı yazılımını bir DLL [Virustotal] olarak indirecek ve aynı sıcaklık klasöründe saklayacaktır. Daha sonra regsvr32.exe kullanarak rastgele adlandırılmış DLL'yi başlatacaktır.
Emotet artık cihazda sessizce çalışacak, e -posta, kişiler çalacak ve komut ve kontrol sunucusundan daha fazla komut bekleyecek.
Bu kampanyanın nihayetinde hangi yükleri düşürdüğü bilinmese de, genellikle kobalt grevine veya başka bir kötü amaçlı yazılımın kurulmasına yol açar.
Bu yükler, Emotet ile çalışan tehdit aktörlerinin cihaza erişmesini ve ağda daha fazla yayılması için bir sıçrama tahtası olarak kullanmasına izin verir.
Microsoft Onenote, bu ekleri kullanan birden fazla kötü amaçlı yazılım kampanyası ile büyük bir kötü amaçlı yazılım dağıtım sorunu haline geldi.
Bu nedenle Microsoft, OneNote'da kimlik avı belgelerine karşı geliştirilmiş korumalar ekleyecek, ancak bunun herkes için ne zaman mevcut olacağı için belirli bir zaman çizelgesi yok.
Ancak, Windows yöneticileri, kötü niyetli Microsoft OneNote dosyalarına karşı korumak için grup politikalarını yapılandırabilir.
Yöneticiler, bu grup politikalarını Microsoft OneNote'daki gömülü dosyaları tamamen engellemek veya çalıştırılması engellenmesi gereken belirli dosya uzantılarını belirtmenize izin vermek için kullanabilir.
Mevcut grup politikaları hakkında daha fazla bilgiyi BleepingComputer'ın bu ayın başlarında yazdığı özel bir makalede okuyabilirsiniz.
Microsoft, OneNote'a daha fazla koruma ekleyene kadar Windows Admins'in bu seçeneklerden birini kullanması şiddetle önerilmektedir.
Microsoft Onenote Son kötü amaçlı yazılım istismarından sonra gelişmiş güvenlik elde etmek için
Emotet kötü amaçlı yazılım saldırıları üç aylık moladan sonra geri döndü
Microsoft OneNote dosyalarının pencereleri kötü amaçlı yazılımlarla enfekte etmesini nasıl önleyebilirim
Sandbox Blockchain oyunu, kötü amaçlı yazılımlara bağlanan e -postaları göndermek için ihlal edildi
Yeni qaknote saldırıları, Microsoft Onenote Dosyaları aracılığıyla QBOT kötü amaçlı yazılımları itiyor
Kaynak: Bleeping Computer