Xakep #305. Многошаговые SQL-инъекции
Emotet вновь начал рассылать вредоносный спам после пятимесячного перерыва, во время которого малварь практически не проявляла активности. Пока Emotet не доставляет дополнительные полезные нагрузки на зараженные устройства жертв, поэтому пока нельзя с точность утверждать, к чему приведет эта вредоносная кампания.
Одними из первых возобновление активности Emotet заметили эксперты из группы Cryptolaemus, в которую входят более 20 ИБ-специалистов со всего мира, еще в 2018 году объединившиеся ради общей цели — борьбы с Emotet. По их данным, малварь, простаивавшая с 13 июня 2022 года, неожиданно возобновила работу ранним утром 2 ноября и начала рассылать спам по всему миру.
Эксперт компании Proofpoint и участник Cryptolaemus Томми Маджар (Tommy Madjar) сообщает, что новая спам-кампания используют украденные ранее цепочки электронный писем для распространения вредоносных вложений в формате Excel. Среди образцов, уже загруженных на VirusTotal, можно найти вложения, предназначенные для пользователей со всего миру, написанные на разных языках и с разными именами файлов. Вредоносные документы замаскированы под различные счета, сканы, электронные формы и так далее.
Журналисты Bleeping Computer приводят список имен некоторых вредоносных файлов-приманок:
• Scan_20220211_77219.xls
• fattura novembre 2022.xls
• BFE-011122 XNIZ-021122.xls
• FH-1612 report.xls
• 2022-11-02_1739.xls
• Fattura 2022 - IT 00225.xls
• RHU-011122 OOON-021122.xls
• Electronic form.xls
• Rechnungs-Details.xls
• Gmail_2022-02-11_1621.xls
• gescanntes-Dokument 2022.02.11_1028.xls
Исследователи отмечают, эта кампания Emotet отличается новым шаблоном для Excel-вложений, где содержатся переработанные инструкции для пользователей по обходу Microsoft Protected View.
Дело в том, что Microsoft добавляет специальный флаг Mark-of-the-Web (MoTW) к файлам, загруженным из интернета (в том числе к вложениям из электронной почты). И когда пользователь открывает документ Microsoft Office, содержащий флаг MoTW, тот открывается в режиме Protected View, где предотвращается выполнение макросов, устанавливающих вредоносное ПО.
Поэтому теперь операторы Emotet инструктируют пользователей, что нужно скопировать файл в доверенные папки Templates, так как это позволит обойти ограничения Protected View (даже для файла с пометкой MoTW).
Если же вредоносное вложение запускается из папки Templates, оно попросту сразу выполняет макросы, загружающие вредоносное малварь Emotet в систему жертвы. Вредонос загружается в виде DLL, в несколько папок со случайными именами в %UserProfile%\AppData\Local, а после макросы запускают DLL с помощью regsvr32.exe.
Затем малварь будет работать в фоновом режиме, подключаясь с управляющему серверу злоумышленников для получения дальнейших инструкций или установки дополнительных пейлоадов. Напомню, что ранее Emotet распространял трояна TrickBot, а был пойман и за установкой маяков Cobalt Strike.
История Emotet
Emotet появился еще в 2014 году, но лишь в 2020-х стал одной из наиболее активных угроз среди вредоносных программ.
Малварь распространялась преимущественно с почтовым спамом, через вредоносные документы Word, Excel и так далее. Такие письма могли маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку или под информацию о распространении коронавируса. Словом, хакеры внимательно сделят за мировыми трендами и постоянно совершенствуют письма-приманки.
Хотя когда-то Emotet начинал свой пусть как классический банковский троян, в итоге угроза сильно видоизменилась, превратившись в мощный загрузчик с множеством модулей, а ее операторы стали активно сотрудничать с другим преступными группами.
Проникнув в систему жертвы, Emotet использовал зараженную машину для дальнейшей рассылки спама, а также устанавливал на устройство самую разную дополнительную малварь. Зачастую это были банкеры, такие как TrickBot, майнеры, инфостилеры, а также шифровальщики вроде Ryuk, Conti, ProLock.
Европол называл Emotet «наиболее опасными вредоносным ПО в мире», а также «одним из самых выдающихся ботнетов последнего десятилетия».
Попытка ликвидировать ботнет, предпринятая правоохранителями в 2021 году, не увенчалась успехом: уже в конце года вредонос вернулся в строй, объединившись с Trickbot, чтобы «встать на ноги».
Весной текущего года эксперты предупреждали об активном росте Emotet, а также прошлым летом было замечено, что вредонос обзавелся собственным модулем для кражи банковских карт.