Новости Нашумевший вредонос Emotet теперь распространяется через файлы Microsoft OneNote

NewsMaker

I'm just a script
Премиум
13,850
20
8 Ноя 2022
Злоумышленникам пришлось сменить канал доставки после недавних действий редмондской компании.


wzd8vi76ztk51esx303da6umzkukymsp.jpg

Зловредное ПО Emotet , о возвращении которого после длительного перерыва Для просмотра ссылки Войди или Зарегистрируйся не так давно, теперь распространяется с помощью почтовых вложений Microsoft OneNote с целью обойти последние ограничения безопасности Microsoft и заразить больше компьютеров.

Emotet — это известный вредоносный ботнет, который исторически распространялся через почтовые вложения Microsoft Word и Excel, содержащие вредоносные макросы. Если пользователь открывает подобное вложение и активирует поддержку макросов, это приводит к загрузке и выполнению вредоносной DLL -библиотеки, устанавливающей вредоносное ПО Emotet на компьютер жертвы.

После загрузки вредоносная программа может красть контакты и письма с электронной почты для будущих спам-кампаний. Также Emotet может использоваться для установки других полезных нагрузок, обеспечивающих первоначальный доступ к корпоративной сети для последующих кибератак.

Поскольку Microsoft теперь автоматически блокирует макросы в загруженных документах Word и Excel, включая файлы, прикрепленные к электронным письмам, вредоносная кампания Emotet резко стала неэффективной. Однако злоумышленники быстро среагировали на предпринятые Microsoft шаги и начали распространять вредонос уже через вложения OneNote.


us0136ywr0vdthhbg5mg0idhozi76vof.png




Вредоносное вложение OneNote в электронной почте





На изображении выше показан пример такой атаки. К фишинговому электронному письму прикреплён файл Microsoft OneNote. Внутри него содержится фейковое сообщение о том, что документ защищён, и для корректного просмотра нужно дважды щелкнуть кнопку «Просмотр». Однако как раз под этой кнопкой злоумышленники скрыли вредоносный файл VBScript с именем «click.wsf», запуск которого приводит к выполнению вредоносного кода.


79re4nzgfnvkudk0dmdt39mk0dh76tna.png


Фейковое предупреждение, вынуждающее пользователя выполнить скрипт

Вышеупомянутый VBScript содержит запутанный сценарий, который загружает DLL-библиотеку с удаленного веб-сайта, а затем выполняет ее.



ffh8bjx03t4yiv9bmg3tn8q868rtsvkx.png


Файл «click.wsf» с вредоносным сценарием

Хотя OneNote и отображает предупреждение, когда пользователь пытается запустить встроенное в файл содержимое, статистика показывает, что многие пользователи часто нажимают кнопку «ОК», просто чтобы избавиться от предупреждения, не вчитываясь в текст и не задумываясь о возможных последствиях.

Microsoft уже в курсе проблемы и вскоре добавит в OneNote улучшенную защиту от фишинговых документов, но конкретных сроков, когда обновление станет доступно для всех, — пока не названо.

В качестве временного решения системные администраторы Windows могут использовать групповые политики, чтобы полностью или частично заблокировать встроенные скрипты в файлах Microsoft OneNote.
 
Источник новости
www.securitylab.ru

Похожие темы