Операторы Emotet запустили кампанию в Microsoft Office

Исследовательская группа Cryptolaemus, созданная для борьбы с вредоносным ПО Emotet, заявила , что операторы Emotet запустили вредоносную кампанию с использованием электронных писем.

Emotet — это вредоносное ПО, распространяемое посредством фишинговых кампаний, содержащих вредоносные документы Excel или Word. Когда пользователь открывает документ и активирует макросы, Emotet загружается в память.

После загрузки вредоносное ПО похищает электронные письма для использования в будущих кампаниях и сбрасывает дополнительные полезные нагрузки, такие как Cobalt Strike или другое вредоносное ПО, которое обычно приводит к атакам программ-вымогателей.

Обнаруженная кампания использует вложения, предназначенные для пользователей по всему миру, на разных языках и с разными именами файлов, выдающие себя за счета, сканы, электронные формы и другие приманки.

Примеры названий вредоносных вложений

Кампания Emotet использует шаблон вложения Excel , который содержит инструкции по обходу защищенного просмотра Microsoft.

Вредоносный документ Excel

Когда файл загружается из Интернета, Microsoft добавляет к файлу специальный флаг Mark-of-the-Web (MoTW). При открытии документ с флагом MoTW открывается в режиме защищенного просмотра, предотвращая выполнение макросов, устанавливающих вредоносное ПО.

Однако, во вложении Emotet операторы указали инструкции для пользователей – копировать файл в доверенные папки «Шаблоны». Это позволяет обойти защищенный просмотр Microsoft Office. При открытии документа из папки «Шаблоны» запускаются и макросы, которые загружают вредоносное ПО Emotet.

Emotet загружается в виде DLL в несколько папок со случайными именами в папке «%UserProfile%\AppData\Local». Затем макросы запускают DLL с помощью легитимной команды «regsvr32.exe».

Emotet в случайной папке в %LocalAppData%

После загрузки вредоносное ПО работает в фоновом режиме и подключается к C&C-серверу для получения дальнейших инструкций или установки дополнительных полезных нагрузок.