Rezumat
Emotet este considerat în prezent cel mai răspândit, precum și cel mai distructiv și cel mai costisitor pentru remediere malware (1). Acesta se răspândește în principal prin intermediul e-mailurilor de phishing care conțin un link malițios sau un document infectat. Odată ce victimele descarcă fișierul sau fac clic pe link, un malware suplimentar este descărcat automat pe dispozitivul lor și apoi se multiplică în cadrul rețelei întreprinderii.
În ciuda eliminării sale masive în ianuarie 2021 datorită autorităților judiciare și de aplicare a legii internaționale (1), Emotet continuă să înflorească și să răspândească malware cu trucuri mai sofisticate. Una dintre tactici utilizează un fișier de scurtătură Windows (.LNK) care conține comenzi PowerShell pentru a descărca încărcătura utilă Emotet pe dispozitivul victimelor, pe care l-am analizat în ultimul nostru blog. Autorul amenințării a făcut această adaptare ca răspuns la protecția VBA lansată de Microsoft.
În aprilie 2022, o nouă campanie Emotet care abuza de fișierele .LNK zipate a fost observată în mediul natural. În acest blog, analizăm acest vector și demonstrăm cum puteți preveni aceste tipuri de malware cu OPSWAT MetaDefender .
Lanțul de infecție Emotet
Operatorii botnetului Emotet încep atacul cu un e-mail de tip spam care conține un fișier zip malițios protejat prin parolă cu un fișier de link de scurtătură încorporat (.LNK). Aceștia abuzează de fișierul de comandă rapidă, deoarece este dificil de distins. Fișierul este deghizat ca un fișier document cu o pictogramă, iar extensia nu este afișată în mod implicit în Windows.
Imediat după ce victimele extrag fișierul zip și execută fișierul .LNK, acesta lasă un Microsoft VBScript (Visual Basic Script) dăunător în dosarul temporar de pe dispozitivul lor.
VBScript-ul abandonat se execută și descarcă încărcătura Emotet de pe un server de la distanță. După ce fișierul binar este descărcat, acesta salvează fișierul în directorul temporar al Windows și îl execută folosind regsvr32.exe. Odată infectat, Emotet se duplică pentru a se răspândi la alte calculatoare din rețea.
Cum să preveniți Emotet și alte atacuri avansate similare
Există o mulțime de recomandări și îndrumări din partea agențiilor guvernamentale și a experților în securitate cibernetică din întreaga lume pentru a ajuta utilizatorii să recunoască și să se apere împotriva campaniilor sofisticate Emotet (2), cum ar fi:
- Nu deschideți atașamentele dubioase din e-mail și nu faceți clic pe link-urile suspecte din corpul e-mailului.
- Asigurați-vă că angajații dvs. sunt suficient de bine instruiți pentru a identifica link-urile și atașamentele suspecte din e-mailuri.
- Păstrați sistemul de operare, aplicațiile și software-ul de securitate actualizate.
Vă este ușor să vă protejați organizația în mod cuprinzător împotriva Emotet, precum și împotriva altor amenințări sofisticate și evazive, cu ajutorul OPSWAT Email Gateway Security și OPSWAT MetaDefender Core. Tehnologia noastră Deep CDR™ (Content Disarm and Reconstruction), lider pe piață, dezactivează atât amenințările cunoscute, cât și cele necunoscute ascunse în fișiere. Conform filosofiei noastre zero-trust, presupunem că toate fișierele care intră în rețeaua dvs. sunt rău intenționate, așa că scanăm, curățăm și reconstruim fiecare fișier înainte ca acesta să ajungă la utilizatori. Tot conținutul activ ascuns în fișiere este neutralizat sau eliminat, asigurând un mediu fără amenințări pentru organizația dvs.
Amenințarea actuală Emotet este prevenită după cum urmează:
1.OPSWAT Email Gateway Security pune în carantină atașamentele protejate prin parolă.
2. Pentru a descărca fișierul atașat, destinatarii trebuie să furnizeze parola fișierului către sistemul aflat în carantină.
3.MetaDefender Core scanează fișierul în căutarea de malware cunoscut cu soluția noastră de scanare multiplă numită Metascan. După cum se arată mai jos, 11/16 motoare au detectat cu succes amenințarea.
4. MetaDefender Core atașamentul și curăță recursiv fiecare fișier imbricat folosind motorul tehnologiei Deep CDR™. Rezultatul de mai jos arată că a fost găsit și eliminat un obiect.
În timpul procesului de curățare, tehnologia Deep CDR™ a înlocuit comanda dăunătoare din fișierul .LNK cu fișierul dummy.txt pentru a neutraliza amenințarea.
5.Email Gateway Security pune la dispoziția utilizatorilor e-mailul cu un atașament fără amenințări. Iată rezultatul scanării fișierului după dezinfectare. Nu a fost detectată nicio amenințare.
6. Utilizatorii pot acum să descompună fișierul atașat pe calculatorul lor și să genereze fișierul LNK fără să se îngrijoreze de probleme de siguranță. Chiar dacă utilizatorii deschid fișierul LNK, nu va fi descărcat niciun malware, deoarece comanda malițioasă a fișierului LNK este înlocuită.
Aflați mai multe despre tehnologia Deep CDR™ sau contactați-ne pentru a descoperi cele mai bune soluții de securitate care vă protejează rețeaua corporativă și utilizatorii împotriva atacurilor cibernetice periculoase și complexe.
Referință
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
