Araştırmacılar, korkunç bir Truva Atı İfadesi’nin beş aylık bir aradan sonra geri döndü ve yeni bir kötü amaçlı yazılım dağıtım kampanyası başlattı.
Emotet’i izleyen bir grup olan Cryptolaemus’tan araştırmacılar, 2 Kasım sabahı erken saatlerde tehdit aktörünün aniden canlandığını ve dünya çapında kimlik avı e-postalarıyla spam e-posta adreslerine geldiğini gözlemledi.
“Görünüşe göre Ivan’ın yine biraz paraya ihtiyacı var, bu yüzden işe geri döndü. Grup, doğrudan ekli XLS dosyalarına ve sıkıştırılmış ve parola korumalı XLS’ye dikkat edin” uyarısında bulundu. Twitter dizisi (yeni sekmede açılır).
Silahlı Office dosyaları
Her zaman olduğu gibi, kampanya, bu özel durumda, kötü amaçlı makrolar taşıyan Excel dosyaları gibi, silahlı Office belgeleri etrafında dönüyor.
Tehdit aktörü, belgeyi dağıtmak için yanıt özelliğini kullanarak mevcut e-posta zincirlerini ele geçirir. Microsoft yakın zamanda makroları varsayılan olarak devre dışı bıraktığından ve yöneticilerin özellikle özelliğin çalışmasına izin vermesini gerektirdiğinden, hilenin nasıl çalıştığına dair birkaç önemli değişiklik var.
Ayrıca, Windows artık internetten indirilen tüm dosyalara Web İşareti (MoTW) bayrağını ekliyor. Açıldığında, MoTW işaretli dosyalar, güvenli olmayan bir konumdan indirildiklerini ve kullanıcıların yanlışlıkla kötü amaçlı bir makro çalıştırmasını önlemek için yalnızca Korumalı Görünüm’de açılabileceklerini söyleyen bir mesaj görüntüler.
Bu, suçluların Excel’in güvenlik uyarısını (içeriğin üzerindeki sarı yatay çubuk) taklit ederek ve dosyayı çalıştırmak için Office’in Şablonlar klasörüne yerleştirilmesi gerektiğini söyleyerek dosyaya belirli bir mesaj eklemelerini istedi.
Şablonlar klasöründen çalıştırılan tüm dosyalar otomatik olarak makroları çalıştırır. Aslında, Windows yönetici izni istediğinden, belirli bir klasöre dosya eklemek o kadar kolay değil, ancak şanslar – birçok kurban bu bariz kırmızı bayrakları görmezden gelecektir.
Şimdiye kadar, Emotet, güvenliği ihlal edilmiş uç noktalarda hareketsiz oturuyor (yeni sekmede açılır), bu nedenle araştırmacılar bunun ne tür bir kampanya için kullanıldığını belirleyemiyor. Geçmişte Emotet, Cobalt Strike işaretçilerini, TrickBot kötü amaçlı yazılımlarını ve diğerlerini düşürmek için kullanılıyordu.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)