„Microsoft OneNote“ failai pasitelkiami „Emotet“ kenkėjiškos programos platinimui

Ir vėl pasirodė „Emotet“ kenkėjiška programa

„Emotet“ kenkėjiškos programos platinimas iš „Word“ ir „Excel“ persikėlė į „OneNote“

Po trijų mėnesių tylos „Emotet“ kenkėjiška programa vėl pasirodė kibernetinėje erdvėje, šį kartą pasitelkdama naują platinimo metodą. „Emotet“ yra kenkėjiškų programų botnetas, žinomas dėl greito plitimo ir gebėjimo užkrėsti daugybę įrenginių.

Žvelgiant į praeitį, ši kenkėjiška programa buvo platinama naudojant „Microsoft Word“ ir „Excel“ priedus, kuriuose buvo paslepiamos kenkėjiškos makrokomandos. Kai vartotojas atidaro tokį priedą ir įjungia makrokomandas, yra atsisiunčiamas ir vykdomas DLL, todėl galiausiai įrenginyje įdiegiama „Emotet“ kenkėjiška programa.

Vos tik kenkėjiška programa patenka į įrenginį, ji pavogia el. pašto adresus ir kitą aktualią informaciją būsimoms šlamštui priskiriamų el. laiškų platinimo kampanijoms. Kenkėjiška programa taip pat atsisiunčia papildomų kenkėjiškų failų, leidžiančių jai gauti pradinę prieigą prie įmonės tinklo. Ši prieiga naudojama vykdyti kibernetinėms atakoms prieš kompanijas, pavyzdžiui, išpirkos reikalaujančių programų atakoms, duomenų vagystėms, kibernetiniam šnipinėjimui ir turto prievartavimui.

Šį kartą pasitelkiamas naujas metodas – „OneNote“ failai

Praeityje buvusi viena labiausiai platinamų kenkėjiškų programų, „Emotet“ padarė ilgoką pertrauką 2022 metų pabaigoje. Tačiau po trijų mėnesių neveiklumo botnetas buvo iš naujo suaktyvintas ir šio mėnesio pradžioje vėl pradėjo siųsti kenkėjiškus el. laiškus visame pasaulyje. Tačiau ši pradinė kampanija buvo ydinga, nes joje buvo mėginama toliau naudoti seną taktiką – „Word“ ir „Excel“ dokumentus su makrokomandomis.

Tokia kampanija paveiktų vos kelis žmones, nes „Microsoft“ dabar automatiškai blokuoja makrokomandas atsisiųstuose „Word“ ir „Excel“ dokumentuose, įskaitant tuos, kurie prisegami prie el. laiškų. Dėl to botnetas buvo perkeltas į „Microsoft OneNote“ failus, kurie tapo populiariu kenkėjiškų programų platinimo metodu, kai „Microsoft“ pradėjo blokuoti makrokomandas kitose programose.

Kibernetiniai nusikaltėliai dabar platina „Emotet“ kenkėjišką programą naudodami kenkėjiškus „Microsoft OneNote“ priedus, skleidžiamus per gudrią šlamštui priskiriamų el. laiškų kampaniją. Šie priedai platinami per atsakymų grandinės el. laiškus, atrodančius kaip įvairios instrukcijos, sąskaitos faktūros, darbo nuorodos ir kiti svarbūs dokumentai.

„Microsoft OneNote“ dokumentuose, prisegtuose prie tokio el. laiško, rodomas pranešimas, jog dokumentas yra apsaugotas. Būtent todėl vartotojai net nepagalvoja apie galimus virusus. O Tada naudotojų prašoma dukart spustelėti mygtuką „Peržiūrėti“, kad dokumentas būtų tinkamai rodomas.

Deja, kibernetiniai nusikaltėliai po mygtuku „Peržiūrėti“ paslėpė kenkėjišką VBScript failą, pavadinimu „click.wsf“. Šiame VBScript yra smarkiai užmaskuotas scenarijus, kuris atsisiunčia ir vykdo DLL iš nuotolinės, greičiausiai pažeistos svetainės. Nors „Microsoft OneNote“ parodo įspėjimą, kai vartotojas bando atidaryti įterptąjį failą, daugelis vartotojų tiesiog spustelėja mygtuką „Gerai“, kad atmestų įspėjimą.

Kai vartotojas spusteli šį mygtuką, įterptasis „click.wsf“ VBScript failas iš „OneNote“ „Temp“ aplanko pradedamas vykdyti pasitelkiant „WScript.exe“ iš „Temp“ aplanko. Po to scenarijus atsisiunčia „Emotet“ kenkėjišką programą kaip DLL ir įdeda ją į tą patį „Temp“ aplanką. Tuomet panaudojamas „regsvr32.exe“ failas, kad būtų paleistas atsitiktinai pavadintas DLL.

Po visų šių žingsnių kenkėjiška programa nepastebimai veikia įrenginyje, iš jo pavogdama el. pašto adresus ir laukdama tolesnių komandų iš savojo komandų ir valdymo serverio. Nors kol kas nėra žinoma, kokius kitus kenkėjiškus failus gali atsiųsti „Emotet“, dėl jos dažnai įdiegiama „Cobalt Strike“ ar kita kenkėjiška programa.

Apsisaugoti nuo tokios kampanijos galima užblokuojant failus

Dėl kelių kenkėjiškų programų kampanijų naudojant šiuos priedus, „Microsoft OneNote“ susidūrė su didžiule kenkėjiškų programų platinimo problema. Dėl to „Microsoft“ žada pagerinti apsaugą nuo pavojingų dokumentų „OneNote“ programoje, tačiau kol kas nėra nustatyto laiko, kada tai bus prieinama visiems vartotojams.

Tiesa, „Windows“ administratoriai gali imtis tam tikrų veiksmų, kad apsisaugotų nuo kenkėjiškų „Microsoft OneNote“ failų. Jie gali pakeisti grupės politiką, visiškai užblokuodami įterptus „OneNote“ failus arba nurodydami konkrečius failų plėtinius, kurių paleidimas turėtų būti neleistinas. „Windows“ administratoriams primygtinai rekomenduojama naudoti vieną iš šių parinkčių, kol „Microsoft“ nepristatys papildomos „OneNote“ apsaugos.