Emotet теперь распространяется через поддельные пакеты установщика приложений

Emotet теперь распространяется через поддельные пакеты ус​

Emotet-map.jpg
Вредоносная программа Emotet теперь распространяется через вредоносные пакеты Windows App Installer, которые выдают себя за программное обеспечение Adobe PDF.
Emotet - это печально известное вредоносное ПО, которое распространяется через фишинговые письма и вредоносные вложения. После установки он будет красть электронные письма жертв для других спам-кампаний и развертывать вредоносные программы, такие как TrickBot и Qbot, которые обычно приводят к атакам программ-вымогателей.
Злоумышленники, стоящие за Emotet, теперь заражают системы, устанавливая вредоносные пакеты с помощью встроенной функции Windows 10 и Windows 11, называемой установщиком приложений.
Ранее исследователи видели, что этот же метод использовался для распространения вредоносного ПО BazarLoader, в которое устанавливались вредоносные пакеты, размещенные в Microsoft Azure.

Злоупотребление установщиком приложений Windows​

Используя URL-адреса и образцы электронной почты, предоставленные группой отслеживания Emotet Cryptolaemus , BleepingComputer демонстрирует ниже поток атаки новой фишинг-кампании по электронной почте.
Эта новая кампания Emotet начинается с украденных писем с цепочкой ответов, которые появляются как ответ на существующий диалог.
В этих ответах получателю просто предлагается «см. Прикрепленный файл» и содержится ссылка на предполагаемый PDF-файл, связанный с перепиской по электронной почте.
phishing-email.jpg

Emotet фишинговое письмо

Источник: @malware_traffic


При нажатии на ссылку пользователь попадает на поддельную страницу Google Диска, где ему предлагается нажать кнопку для предварительного просмотра PDF-документа.
fake-adobe-update-page.jpg

Целевая страница фишинга, предлагающая предварительно просмотреть PDF-файл.

Источник: BleepingComputer.


Эта кнопка «Предварительный просмотр PDF» представляет собой URL-адрес ms-appinstaller, который пытается открыть файл appinstaller, размещенный в Microsoft Azure, с использованием URL-адресов в * .web.core.windows.net.
Например, по указанной выше ссылке можно открыть пакет appinstaller по следующему URL-адресу: ms-appinstaller:? Source = https: //xxx.z13.web.core.windows.net/abcdefghi.appinstaller.
Файл appinstaller - это просто файл XML, содержащий информацию о подписанном издателе и URL-адрес приложения, которое будет установлено.
appinstaller-file.jpg

XML-файл установщика приложений Emotet
Источник: BleepingComputer

При попытке открыть файл .appinstaller браузер Windows предложит вам открыть программу Windows App Installer, чтобы продолжить.
Как только вы согласитесь, вам будет показано окно установщика приложения с предложением установить «Adobe PDF Component».

install-prompt.jpg

Установщик приложений предлагает установить поддельный компонент Adobe PDF.

Источник: BleepingComputer.


Вредоносный пакет выглядит как законное приложение Adobe, поскольку у него есть законный значок Adobe PDF, действующий сертификат, помечающий его как «Надежное приложение», и поддельная информация об издателе. Этого типа проверки в Windows более чем достаточно, чтобы многие пользователи доверяли приложению и устанавливали его.

Как только пользователь нажимает кнопку «Установить», установщик приложений загружает и устанавливает вредоносный пакет приложений, размещенный в Microsoft Azure. Этот appxbundle установит DLL в папку% Temp% и выполнит ее с помощью rundll32.exe, как показано ниже.

rundll32.jpg

Установка заражения Emotet

Источник: BleepingComputer


Этот процесс также скопирует DLL как файл и папку со случайным именем в% LocalAppData%, как показано ниже.
emotet-folder.jpg

Эмотет сохранен под случайным именем файла
Источник: BleepingComputer
Наконец, будет создан автозапуск в HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run для автоматического запуска DLL при входе пользователя в Windows.
registry-editor.jpg

Автозапуск реестра для запуска Emotet при запуске Windows
Источник: BleepingComputer

Emotet был самым распространенным вредоносным ПО в прошлом, пока правоохранительные органы не остановили его и не захватили инфраструктуру ботнета. Десять месяцев спустя Emotet был воскрешен, поскольку он начал восстанавливаться с помощью трояна TrickBot.
Днем позже начались спам-кампании Emotet , когда электронные письма попадали в почтовые ящики пользователей с различными приманками и вредоносными документами, которые устанавливали вредоносное ПО.

Эти кампании позволили Emotet быстро расширить свое присутствие и снова провести крупномасштабные фишинговые кампании с установкой TrickBot и Qbot.
Кампании Emotet обычно приводят к атакам программ-вымогателей. Администраторы Windows должны следить за методами распространения вредоносных программ и обучать сотрудников обнаруживать кампании Emotet.

Перевод - Google
Bleeping Computer
 
Назад
Сверху Снизу