Создатели малвари Emotet возобновили фишинговую кампанию и исправили ошибку, которая препятствовала заражению машин жертв при открытии вредоносных вложений из писем.
Издание Bleeping Computer сообщает, что в прошлую пятницу распространители Emotet запустили новую спам-кампанию, в рамках которой малварь распространяется через защищенные паролем файлы ZIP, содержащие файлы Windows LNK, которые замаскированы под документы Word.
Если пользователь кликает на такой ярлык, выполняется команда, которая ищет в файле ярлыка определенную строку, содержащую скрипт Visual Basic, а затем найденный код добавляется в новый файл VBS, и тот выполняется.
Однако эта команда содержала ошибку и использовала статическое имя ярлыка Password2.doc.lnk, хотя фактическое имя прикрепленного к письму файла отличалось и могло, например, представлять собой конструкцию вида "INVOICE 2022-04-22_1033, USA.doc".
Ошибка привела к сбою в работе малвари, так как файл Password2.doc.lnk не существовал и файл VBS не создавался.
Первыми эту проблему обнаружили эксперты из исследовательской группы Cryptolaemus, которые еще в 2018 году объединились ради общей цели: борьбы с Emotet. Исследователи Cryptolaemus сообщили журналистам, что операторы Emotet остановили новую кампанию в ночь с пятницы на субботу, когда обнаружили баг, предотвращающий заражение машин пользователей.
Увы, много времени на устранение проблемы хакерам не понадобилось: вчера операторы Emotet исправили ошибку и снова начали рассылать пользователям спам с вредоносными вложениями, защищенными паролями файлами ZIP и замаскированными ярлыками. Теперь при выполнении команды ярлыки ссылаются на коррективные имена файлов, что позволяет создавать необходимые для атак файлы VBS, а затем загружать и устанавливать Emotet на устройства жертв.
По информации ИБ-экспертов из компании Cofense, известны следующие имена вложений, использующиеся в текущих кампаниях Emotet:
• form.zip
• Form.zip
• Electronic form.zip
• PO 04252022.zip
• Form - Apr 25, 2022.zip
• Payment Status.zip
• BANK TRANSFER COPY.zip
• Transaction.zip
• ACH form.zip
• ACH payment info.zip