Link-2-Secure

Cybersecurity and data breach news

Emotet powraca i atakuje

Emotet powraca z nowym typem ataku. Nie otwieraj plików RAR, SFX, XLS i PDF z nieznanych źródeł

Botnet Emotet znany z innowacyjnych sztuczek i taktyk, po raz kolejny pojawia się w newsach z powodu nowej techniki ataku za pomocą „jednego kliknięcia”.  Atak wykorzystuje samorozpakowujące się pliki RAR.

Co się takiego wydarzyło?
Badacze Trustwave zidentyfikowali wzrost zagrożeń w spakowanych w chronionych hasłem plikach ZIP. Emotet jest jednym z głównych dystrybutorów tych złośliwych pakietów zapewniając około 96% spośród nich, wykorzystując innowacyjną sztuczkę.

Stary wirus, nowa sztuczka
W najnowszej fali ataków, napastnicy wykorzystują przynęty phishingowe o tematyce fakturowej z zabezpieczonymi hasłem plikami archiwalnymi.
Pliki te zawierają zagnieżdżone archiwum samorozpakowujące (SFX), które może działać jako medium do uruchomienia drugiego. Pliki te wymagają tylko jednego kliknięcia i nie ma potrzeby wprowadzania hasła, aby narazić cel na niebezpieczeństwo.
Zaobserwowano, że jedno z takich archiwów SFX wykorzystuje ikonę PDF lub Excel, aby wyglądać na wiarygodne i zawiera takie komponenty jak plik wsadowy, archiwum RARsfx oraz obrazy lub plik PDF.
Ponadto, pliki te są wykorzystywane do umieszczenia CoinMiner i Quasar RAT w zagrożonych systemach.

Szczegóły dotyczące ładunku (payload)

  • CoinMiner jest koparką kryptowalut, która może działać również jako narzędzie do kradzieży danych uwierzytelniających. Wykorzystuje Windows Management Instrumentation (WMI) do zbierania informacji o sprzęcie i antywirusach zainstalowanych w systemie, aby uniknąć sandboxingu i utrudnić analizę. Drugi program użytkowy,
  • Quasar RAT, jest opartym na otwartym kodzie źródłowym .NET RAT-em o rozbudowanych możliwościach. Wykorzystuje on domenę podmiotu odpowiedzialnego za zagrożenie oraz wolną dynamiczną domenę DNS w celu uzyskania dostępu do swojego serwera C2.

Wnioski
Pliki chronione hasłem są trudne do przeskanowania pod kątem ich zawartości, dlatego też stanowią zagrożenie dla użytkowników końcowych. Przyjęcie tej taktyki przez Emotet, i to na tak masową skalę, jest wyraźną czerwoną flagą zarówno dla użytkowników końcowych, jak i specjalistów ds. bezpieczeństwa. Ta nowa taktyka ataku umożliwia aktorom zagrożeń przeprowadzenie wielu ataków, takich jak crypto jacking, kradzież danych, ransomware i inne.