Вредоносное ПО Emotet теперь распространяется в файлах Microsoft OneNote, чтобы обойти защиту

Вредоносное ПО Emotet теперь распространяется с помощью вложений электронной почты Microsoft OneNote с целью обойти ограничения безопасности Microsoft и заразить больше целей.

Emotet — известный вредоносный ботнет, который распространялся через вложения Microsoft Word и Excel, содержащие вредоносные макросы. Если пользователь открывает вложение и включает макросы, будет загружена и выполнена DLL, которая устанавливает вредоносное ПО Emotet на устройство.

После загрузки вредоносная программа крадет контакты электронной почты и содержимое электронной почты для использования в будущих спам-кампаниях. Вредоносное ПО также загружает другие полезные нагрузки, которые обеспечивают первоначальный доступ к корпоративной сети. Доступ используется для проведения кибератак на компанию, которые могут включать атаки программ-вымогателей, кражу данных, кибершпионаж и вымогательство.

В то время как Emotet был одним из самых распространенных вредоносных программ в прошлом, за последний год он то останавливался, то снова запускался, в итоге делая перерыв к концу 2022 года.

После трех месяцев бездействия ботнет Emotet внезапно снова включился, рассылая вредоносные электронные письма по всему миру в начале этого месяца. Однако эта первоначальная кампания была ошибочной, поскольку в ней по-прежнему использовались документы Word и Excel с макросами.

Поскольку Microsoft теперь автоматически блокирует макросы в загруженных документах Word и Excel, включая прикрепленные к электронным письмам, эта кампания заразит лишь несколько человек. В связи с этим Emotet переключится на файлы Microsoft OneNote, которые стали популярным методом распространения вредоносных программ после того, как Microsoft начала блокировать макросы.

Emotet переходит на Microsoft OneNote

Злоумышленники начали распространять вредоносное ПО Emotet, используя вредоносные вложения Microsoft OneNote. Эти вложения распространяются в электронных письмах цепочки ответов, которые выдают себя за руководства, инструкции, счета-фактуры, рекомендации по работе и многое другое.

К электронному письму прикреплены документы Microsoft OneNote, в которых отображается сообщение о защищенности документа. Затем вам будет предложено дважды щелкнуть кнопку «Просмотр», чтобы правильно отобразить документ.

Microsoft OneNote позволяет создавать документы, содержащие элементы дизайна, которые накладываются на встроенный документ. Однако при двойном щелчке по месту, где находится встроенный файл, даже если над ним находится элемент дизайна, файл будет запущен.

В этой вредоносной кампании Emotet злоумышленники скрыли вредоносный файл VBScript с именем «click.wsf» под кнопкой «Просмотр», как показано ниже. Этот VBScript содержит сильно запутанный сценарий, который загружает библиотеку DLL с удаленного веб-сайта, а затем выполняет ее.

Хотя Microsoft OneNote отображает предупреждение, когда пользователь пытается запустить встроенный файл в OneNote, история показала нам, что многие пользователи обычно нажимают кнопку «ОК», чтобы избавиться от предупреждения.

Если пользователь нажмет кнопку «ОК», встроенный файл VBScript click.wsf будет выполнен с использованием WScript.exe из папки Temp OneNote, которая, вероятно, будет отличаться для каждого пользователя.

Затем скрипт загрузит вредоносное ПО Emotet в виде DLL [ VirusTotal ] и сохранит его в той же папке Temp. Затем он запустит DLL со случайным именем, используя regsvr32.exe.

После этого Emotet будет спокойно работать на устройстве, похищая электронную почту, контакты и ожидая дальнейших команд от командного сервера.

Хотя неизвестно, какие полезные нагрузки в итоге сбрасывает эта кампания, обычно это приводит к установке Cobalt Strike или другого вредоносного ПО. Эти полезные нагрузки позволяют злоумышленникам, работающим с Emotet, получить доступ к устройству и использовать его в качестве плацдарма для дальнейшего распространения в сети.