محققین بدافزار بدنام Emotet را بعد از گذشت 6ماه از آخرین فعالیتش مجددا شناسایی کرده اند و اخطار می دهند که به طور گسترده نیز توزیع شده، حالا این بدافزار کاربران ویندوزی را از طریق بکارگیری فایل اکسل مخرب، هدف حملات خود قرار داده است.
Emotet به دلیل ردپا و روش توزیع تهاجمی برای مدت طولانی از سال 2014، در میان جامعه تحقیقاتی بدافزارها گروهی مهم محسوب می شود. این بدافزار برای سرقت اطلاعات حساس و خصوصی از بخش های مختلف آموزشی، دولتی، دفاعی، فناوری اطلاعات، مخابرات و همچنین میلیون ها کاربر در سراسر جهان، طراحی شده است.
توسعه دهندگان بدافزار و وابستگان آن از روش های مختلفی برای توزیع استفاده می کنند و از مستندات مایکروسافت آفیس با روش های رایج بهره می گیرند.
در این حملات جدید، این بدافزار از فایل اکسل آلوده ای با تاکتیک متفاوت از حملات قبلی استفاده کرده است.
بر اساس کاراکترهای رایج شناسایی شده در این کمپین، محققین به این نتیجه رسیدند که مهاجمان با استفاده از ارسال ایمیلهای مخرب همراه با پیوست، بدافزار را توزیع می کنند.
بر خلاف روش های قبلی که مهاجمین کاربر را فریب میدهند تا مستقیما ماکرو را فعال کند، در این روش جدید Emotet می تواند ماکرو را فعال کند و مانند تصویر زیر قربانی را مجبور به راه اندازی مجدد سند می کند.
در روشهای قبلی، مهاجمان از یک فایل با پسوند .ocx از طریق rundll32.exe برای اجرای باینری در سیستم ویندوز مورد نظر استفاده میکردند، اکنون از طریق regsvr32.exe و به فایل با پسوند ooccxx تغییر پیدا کرده است.
• C:\Windows\System32\regsvr32.exe /S .. \oxnv1.ooccxx
• C:\Windows\System32\regsvr32.exe /S .. \oxnv2.ooccxx
مثل همیشه به کاربران توصیه می شود از باز کردن فایل ها و اسنادی که از منابع ناشناس و نامعتبر دریافت شده است، اجتناب نمایند.
منبع: https://cybersecuritynews.com/
