Emotet kötü amaçlı yazılım kimlik avı kampanyası, tehdit aktörlerinin kötü niyetli e -posta ekleri açtıklarında insanların enfekte olmalarını engelleyen bir hata düzelttikten sonra tekrar çalışıyor.
Emotet, kötü amaçlı eklere sahip spam kampanyaları aracılığıyla dağıtılan kötü amaçlı bir enfeksiyondur. Bir kullanıcı eki açarsa, kötü amaçlı makrolar veya komut dosyaları Emotet DLL'yi indirir ve belleğe yükler.
Yükledikten sonra, kötü amaçlı yazılımlar gelecekteki spam kampanyalarında kullanmak için e-postaları arar ve çalacak ve yaygın olarak fidye yazılımı saldırılarına yol açan diğer kötü amaçlı yazılımlar gibi ek yükler bırakacaktır.
Geçen Cuma günü, Emotet kötü amaçlı yazılım distribütörleri, kelime belgeleri gibi davranan Windows LNK (kısayol) dosyalarını içeren şifre korumalı zip dosyası eklerini içeren yeni bir e-posta kampanyası başlattı.
Bir kullanıcı kısayolu üzerinde çift tıklandığında, Visual Basic Script kodu içeren belirli bir dizge için kısayol dosyasını arayan bir komut yürütür, bulunan kodu yeni bir VBS dosyasına ekler ve aşağıda gösterildiği gibi VBS dosyasını yürütür. .
Bununla birlikte, bu komut, ekteki kısayol dosyasının gerçek adı, 'Fatura 2022-04-22_1033, USA.Doc' gibi farklı olsa bile, 'Password2.doc.lnk'ün statik bir kısayol adını kullandığı gibi bir hata içeriyordu.
Bu, komutun başarısız olmasına neden oldu.
#emotet güncellemesi - Son birkaç saatten itibaren Ivan, bir LNK dosyasının sonunda bir ZIP dosyasının ucundaki bir VBS ekleyerek algılamayı atlamaya çalışmak için E4 üzerinde bazı testler çalıştırıyor. Başlatıldığında LNK, kendi içinde bir dize bulacak ve ardından kalanını bir VBS dosyasına kadar bu dizgiyle kopyalayacaktır. 1 / x https://t.co/pecowdbfoa
Cryptolaemus araştırmacısı Joseph Roosen, BleepingComptuer'a Emotet'in, hatanın kullanıcıların enfekte olmasını engellediğini keşfettikten sonra Cuma günü yeni e -posta kampanyasını Cuma günü yaklaşık 00: 00'da kapattığını söyledi.
Ne yazık ki, emotet bugün böcek düzeltildi ve bir kez daha, şifre korumalı zip dosyaları ve kısayol ekleri içeren kötü amaçlı e-postalara sahip kullanıcıları spam göndermeye başladı.
Bu kısayollar artık komut yürütüldüğünde doğru dosya adlarına başvurarak VBS dosyalarının doğru şekilde oluşturulmasına ve Emotet kötü amaçlı yazılımlarının kurbanların cihazlarına indirilmesi ve yüklenmesi.
E-posta Güvenlik Firması Cofense, BleepingComputer'a, bugünün emotet kampanyalarında kullanılan kullanılmış eklerin:
Benzer şifre korumalı eklere sahip bir e-posta alırsanız, onları açmamanız şiddetle tavsiye edilir.
Bunun yerine, ağınıza veya güvenlik yöneticilerinize başvurmanız ve kötü niyetli olup olmadığını belirlemek için eki incelemelerine izin vermelisiniz.
Emotet Botnet 64 bit modüllere geçiş yapar, etkinliği artırır
Emotet Kötü Yazılım Kampanyası, 2022 vergi sezonu için IRS'yi taklit ediyor
Emotet Kasım ayından beri yavaş ama istikrarlı bir şekilde büyüyor
Malspam kampanyasında dağıtılan yeni Meta Bilgi Stealer
WhatsApp Sesli Mesaj Kimlik Avı E-postaları Bilgi Çalma Kötü Amaçlı Yazılım Push
Kaynak: Bleeping Computer