CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Malware-ul Emotet distribuit în cadrul fișierelor Microsoft OneNote

https://www.bleepingcomputer.com

Malware-ul Emotet este acum distribuit folosind atașamente de e-mail Microsoft OneNote, cu scopul de a ocoli măsurile de securitate și de a infecta mai multe ținte.

Emotet este un malware de tip botnet, distribuit prin intermediul atașamentelor Microsoft Word și Excel care conțin macro-uri malițioase. Dacă un utilizator deschide atașamentul și activează macro-urile, va fi descărcat și executat un DLL care instalează Emotet pe dispozitiv.

Scopul malware-ului este acela de a colecta contactele și conținutul din cadrul mail-urilor pentru a fi utilizate în viitoarele campanii de spam. De asemenea, va descărca și alte payload-uri.

Microsoft blochează automat macro-urile în documentele Word și Excel descărcate, inclusiv în cele atașate la e-mail-uri.

Persoanele rău intenționate au început să distribuie malware-ul Emotet folosind atașamente Microsoft OneNote malițioase.

Aceste atașamente sunt distribuite în e-mailuri de tip reply-chain sub forma unor instrucțiuni, facturi, ghiduri malițioase.

Documentele Microsoft OneNote sunt atașate în cadrul mail-urilor și afișează un mesaj ce indică faptul că documentul este protejat. Acesta vă solicită apoi să faceți dublu click pe butonul View (Vizualizare) pentru a afișa documentul în mod corespunzător.

Microsoft OneNote vă permite să creați documente care conțin elemente de design care se suprapun peste un document încorporat. Cu toate acestea, atunci când faceți dublu clic pe locația în care se află fișierul încorporat, chiar dacă există un element de design deasupra acestuia, fișierul va fi lansat.

În această campanie Emotet, atacatorii au ascuns un fișier VBScript malițios numit click.wsf sub butonul View.

Acest VBScript conține un script care descarcă un DLL de pe un site web de la distanță, malițios, și apoi îl execută.

Scriptul va descărca apoi programul malware Emotet ca DLL și îl va stoca în același dosar Temp. Apoi va lansa DLL-ul cu nume aleatoriu folosind regsvr32.exe.

Aceste payload-uri permit atacatorilor să obțină acces la dispozitiv și să se răspândească în cadrul rețelei.

Microsoft va adăuga în OneNote măsuri îmbunătățite împotriva documentelor de phishing, dar nu există un termen specific pentru când va fi disponibil public.

Cu toate acestea, administratorii Windows pot configura politicile de grup pentru a se proteja împotriva fișierelor Microsoft OneNote malițioase.

Se recomandă administratorilor Windows să utilizeze una dintre aceste opțiuni până când Microsoft adaugă măsuri suplimentare în cadrul OneNote.

Sursă: https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică |