Кампания със зловреден спам активно разпространява полезните товари на Emotet чрез имейли, които предупреждават целите на съобщенията за коронавирусна инфекция в различни префектури от Япония, включително Гифу, Осака, Хирошима и Тотори.
За да изплашат потенциалните жертви при отваряне на злонамерени прикачени файлове, спам имейлите – прикрити като официални известия от доставчика на услуги за социално осигуряване за хора с увреждания и обществени здравни центрове – обещават да предоставят повече подробности относно превантивните мерки срещу коронавирусните инфекции в прикачените файлове.
Бандата Emotet е известна с това, че се възползва от тенденциите на текущите събития и празниците, като изпраща насочени шаблони по избор, като покани за демонстрация на Грета Тунберг или за коледни и Хелоуин партита.
Те го правят отново. В тази кампания те използватза злонамерени цели задълбочаващата се здравна криза в световен мащаб, предизвикана от инфекции с новия щам на новия коронавирус за 2019 г. (2019-nCOV), който причинява респираторни заболявания.
Японски коронавирус
Според доклади от общността infosec, тази кампания използва откраднати имейли от по-рано компрометирани акаунти като шаблон за опит за заразяване на получатели с Emotet.
Други обаче изтъкват, че „японският език в темата и имената на файлове е странен“ и че това „изглежда по-сложно от другите опити за разпространение на Emotet“.
„Темата на имейлите, както и имената на документи са подобни, но не идентични“, обяснява доклад от IBM X-Force Threat Intelligence.
„Те се състоят от различни представи за текущата дата и японската дума за„ уведомяване “, за да се предложи спешност.“
Един от спам имейлите, изпратени като част от тази продължаваща кампания, е предупреждение за инфекции, съобщени в префектурата Осака:
Някои от извадките от имейли, забелязани от изследователите по време на мониторинга на тази кампания, също са с футър, съдържащ адреса на институцията, която уж е изпратила уведомлението за коронавирусна инфекция за допълнителна достоверност.
„Този нов подход за доставяне на Emotet може да бъде значително по-успешен поради широкото въздействие на коронавируса и страха от инфекция около него“, се казва в доклада на IBM X-Force Threat Intelligence.
“Очакваме да видим значителен трафик на зловредна електронна поща, базиран на коронавируса в бъдеще, тъй като инфекцията се разпространява. Това вероятно ще включва и други езици, в зависимост от въздействието на епидемията от коронавирус върху различните страни.”
Инфекцията с Emotet
Крайната цел на подобни спам имейли е да подмамят получателя им да отвори прикачен документ на Word, предназначен да опита да изтегли и инсталира зловредния софтуер Emotet.
Ако потребителят попадне на триковете на Emotet и отвори прикачения файл, той ще види стандартния шаблон за документ на Emotet Office 365, който ги моли да “Активира съдържание”, за да преглеждат правилно целия документ.
След като макросите бъдат активирани, полезният товар Emotet ще бъде инсталиран на устройството на жертвата с помощта на команда PowerShell.
След това заразеният компютър ще бъде използван за доставяне на злонамерени спам съобщения към други цели и за изхвърляне на други щамове злонамерен софтуер върху устройството, като например троянския информационен крадец на Trickbot, известен с това, че доставя и софтуер за откупи.
Този вторичен полезен товар ще позволи на атакуващите да събират потребителски идентификационни данни, история на браузъра и чувствителни документи, които ще бъдат опаковани и изпратени до контролирани от атакуващите сървъри за съхранение данни.
Неочакваните прикачени файлове са лоша новина
Трябва да внимавате за всички странни имейли, които се пристигат във вашата пощенска кутия, особено тези, които се доставят с прикачени файлове в Word, поради тежестта на инфекцията с Emotet.
Вместо да отваряте подозрителни прикачени файлове, трябва или да се обърнете към подателя за потвърждение, , или да го споделите първо с вашия служител по сигурността, за да може той да бъде разгледан в контролирана среда.
Преди седмица Агенцията за сигурност на киберсигурността и инфраструктурата (CISA) издаде сигнал за засилени атаки на злонамерен софтуер Emotet и посъветва потребителите и администраторите да прегледат сигнала за злонамерен софтуер Emotet за подробни указания.
Сред мерките, които могат да бъдат предприети за смекчаване на атаките на Emotet, CISA препоръчва:
- Блокирайте прикачени файлове за имейл, често свързани с злонамерен софтуер (напр.,. Dll и .exe).
- Блокирайте прикачени файлове по имейл, които не могат да бъдат сканирани от антивирусен софтуер (например .zip файлове).
- Прилагане на групови правила за обект и защитна стена.
- Внедряване на антивирусна програма и формализиран процес за управление.
- Внедрете филтри на шлюза за електронна поща и блокирайте подозрителните IP адреси в защитната стена.
- Спазвайте принципа на най-малко привилегии.
- Внедрете система за проверка на удостоверяване, докладване и съответствие (DMARC) на базата на домейн.
- Сегментиране и сегрегиране на мрежи и функции.
- Ограничете ненужните странични комуникации.
Emotet се класира на първо място в „Топ 10 на най-разпространените заплахи“, споделени от интерактивната платформа за анализ на зловреден софтуер Any.Run през края на декември, като утрои броя на качванията в сравнение с всички останали семейства на злонамерен софтуер в този топ.
Ако искате да научите повече за Emotet и най-новите активни кампании, трябва да следвате групата Cryptolaemus в Twitter, колектив от изследователи по сигурността, които споделят чести актуализации за дейността на този зловреден софтуер.
Източник: По материали от интернет