Malware-ul Emotet se instalează acum prin PowerShell

Rețeaua botnet Emotet folosește acum scurtături Windows (.LNK) care conțin comenzi PowerShell cu scopul de a infecta computerele victimelor.

Fișierele .lnk au mai fost folosite anterior în atacuri, împreună cu codul Visual Basic Script (VBS). Acum este pentru prima dată când au folosit scurtături Windows pentru a executa direct comenzi PowerShell.

Cercetătorii în domeniul securității au observat că Emotet a trecut la o nouă tehnică care utilizează comenzi PowerShell atașate la fișierul LNK pentru a descărca și executa un script pe calculatorul infectat.

Șirul malițios atașat la fișierul .LNK este obfuscat și completat cu spații goale, astfel încât să nu se afișeze în câmpul țintă (fișierul către care indică scurtătura) din caseta de dialog a proprietăților fișierului.

Fișierul .LNK malițios include URL-uri către mai multe site-uri web compromise utilizate pentru stocarea de scripturi PowerShell. Dacă scriptul este prezent la una dintre locațiile definite, acesta este descărcat în folderul temporar al sistemului ca un script PowerShell cu un nume aleatoriu.

Acest script generează și lansează un alt script PowerShell care descarcă malware-ul Emotet de pe o listă de site-uri compromise și îl salvează în folderul %Temp%. DLL-ul descărcat este apoi executat cu ajutorul comenzii regsvr32.exe.

Executarea scriptului PowerShell se face cu ajutorul utilitarului Regsvr32.exe și se încheie cu descărcarea și lansarea malware-ului Emotet.

Țările cele mai afectate de Emotet prin noua tehnică sunt Mexic, Italia, Japonia, Turcia și Canada.

Programul malware este utilizat de obicei ca o poartă de acces pentru alte programe malware, în special amenințări de tip ransomware, precum Conti.

Sursa: https://www.bleepingcomputer.com/news/security/emotet-malware-now-installs-via-powershell-in-windows-shortcut-files/