Az EMOTET ismét lecsap

Úgy tűnik, hogy az EMOTET hullámokban alkalmaz új és új módszereket a támadási során. Amikor a támadási módszereket felismerik, visszavonulnak és visszatérnek egy újabb módszerrel. Most is ez történt, bár még a felhasználói hiszékenységet használják ki az új kampányban.

Két hónapos szünet után az új kampányában az EMOTET fejlesztői ismét e-mailek csatolmányaként juttatják el kártékony kódjaikat a célpontokba, különböző nyelveken, különböző témákban, de kihasználva az ünnepeket és a járványhelyzetet. A tartalom most is igényli a makrók engedélyezését, azonban ezen most csavartak egyet. 

Az új verzióban a MS Word fájl megnyitásakor felad egy párbeszédablakot, hogy a fájl sérült, a Word hibát talált a megnyitása során. A párbeszédablak mögött már telepíti is magát a rosszindulatú .dll fájl, amit a Windows rundll32.exe futtat is. Az azonosítást nehezíti, hogy a korábbi egyszerű szöveges kódok helyett bináris kódokra váltottak.

Az EMOTET üzemeltetői naprakészen tartják a támadó eszközeiket és folyamatosan fejlesztik, hogy bármikor alkalmazható legyen.

Háttér: MITER ATT&CK

Forrás