Kötü şöhretli Emotet botnet, güvenliği ihlal edilmiş sistemlere CoinMiner ve Quasar RAT bırakmak için parola korumalı arşiv dosyalarından yararlanan yeni bir kötü amaçlı spam kampanyaları dalgasıyla ilişkilendirildi.
bir saldırı zinciri Trustwave SpiderLabs araştırmacıları tarafından tespit edildiğinde, fatura temalı bir ZIP dosyası cazibesinin iç içe geçmiş kendi kendine açılan (SFX) bir arşiv içerdiği bulundu, ilk arşiv ikincisini başlatmak için bir kanal görevi görüyor.
Bu gibi kimlik avı saldırıları geleneksel olarak hedefi eki açmaya ikna etmeyi gerektirse de, siber güvenlik şirketi, kampanyanın yükün kilidini açmak için parolayı otomatik olarak sağlamak için bir toplu iş dosyası kullanarak bu engeli aştığını söyledi.
İlk SFX arşiv dosyası ayrıca, gerçekte üç bileşen içerdiğinde, meşru görünmesini sağlamak için bir PDF veya Excel simgesini kullanır: parola korumalı ikinci SFX RAR dosyası, arşivi başlatan yukarıda belirtilen toplu komut dosyası ve bir tuzak PDF veya görüntü.
“Toplu iş dosyasının yürütülmesi, parola korumalı RARsfx içinde gizlenen kötü amaçlı yazılımın yüklenmesine yol açar. [self-extracting RAR archive]”Araştırmacılar Bernard Bautista ve Diana Lopera Perşembe günkü bir yazısında söyledi.
Toplu komut dosyası, kötü amaçlı etkinliği gizlemek amacıyla cazibe belgesini görüntülemek için bir komut başlatmanın yanı sıra, arşivin parolasını ve yükün çıkarılacağı hedef klasörü belirterek bunu başarır.
Son olarak, enfeksiyon, bir kimlik bilgisi hırsızı olarak ikiye katlanabilen bir kripto para madenciliği olan CoinMiner’ın yürütülmesiyle sonuçlanır veya Kuasar Sıçanaçık kaynaklı bir .NET tabanlı uzaktan erişim truva atıarşivde paketlenmiş yüke bağlı olarak.
Tek tıkla saldırı tekniği, parola engelini etkili bir şekilde aşarak kötü niyetli kişilerin kripto hırsızlığı, veri hırsızlığı ve fidye yazılımı gibi çok çeşitli eylemleri gerçekleştirmesine olanak sağlaması bakımından da dikkate değerdir.
Trustwave, parola korumalı ZIP dosyalarında paketlenen tehditlerde bir artış tespit ettiğini ve bunların yaklaşık %96’sının Emotet botnet tarafından dağıtıldığını söyledi.
Araştırmacılar, “Kendiliğinden açılan arşiv uzun süredir var ve son kullanıcılar arasında dosya dağıtımını kolaylaştırıyor” dedi. “Ancak, dosya içeriği kolayca doğrulanamadığı için bir güvenlik riski oluşturuyor ve komutları ve yürütülebilir dosyaları sessizce çalıştırabiliyor.”