Mã độc Emotet bắt đầu quay trở lại sau 5 tháng ngừng hoạt động

MP| 04/11/2022 09:37
Theo dõi ICTVietnam trên

Sau một “kỳ nghỉ” kéo dài 5 tháng, phần mềm độc hại Emotet đã một lần nữa quay trở lại hoạt động với chiến dịch phát tán email độc hại tới người dùng thông qua các email rác.

Emotet là một phần mềm độc hại lây nhiễm được phân phối thông qua các chiến dịch lừa đảo chứa các tài liệu Excel hoặc Word độc hại. Khi người dùng mở các tài liệu này và bật macro, Emotet DLL sẽ được tải xuống và tải vào bộ nhớ.

Sau khi được tải về, phần mềm độc hại sẽ tìm kiếm và đánh cắp email để sử dụng trong các chiến dịch thư rác trong tương lai và cài đặt thêm các payload khác như Beacon trong công cụ Cobalt Strike hoặc phần mềm độc hại khác thường dẫn đến các cuộc tấn công bằng ransomware.

Emotet, được coi là phần mềm độc hại được phát tán nhiều nhất trong quá khứ, đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua, đột ngột ngừng hoạt động gửi thư rác từ ngày 13/6/2022.

Tuy nhiên, mới đây các nhà nghiên cứu của Emotet Cryptolaemus đã cho biết ngày 2/11/2022, Emotet đã đột nhiên hoạt động quay trở lại và gửi thư rác đến các địa chỉ email trên toàn thế giới.

Chia sẻ với BleepingComputer, nhà nghiên cứu mối đe dọa Proofpoint và là thành viên Cryptolaemus, Tommy Madjar cho biết các chiến dịch email Emotet ngày nay đang sử dụng chuỗi trả lời email bị đánh cắp để phân phối các tệp đính kèm Excel độc hại.

Từ các mẫu được tải lên VirusTotal, BleepingComputer đã thấy các tệp đính kèm được nhắm mục tiêu đến người dùng trên toàn thế giới dưới nhiều ngôn ngữ và tên tệp khác nhau, đánh lừa người dùng với việc giả mạo các mẫu hóa đơn, biểu mẫu điện tử và nhiều hình thức khác.

Chiến dịch Emotet mới này cũng sử dụng một mẫu tệp đính kèm Excel mới có chứa các hướng dẫn để vượt qua Chế độ xem được bảo vệ của Microsoft (Microsoft's Protected View).

Trên thực tế, khi một tệp được tải xuống từ Internet, bao gồm dưới dạng tệp đính kèm email, Microsoft sẽ thêm một cờ Mark-of-the-Web (MoTW) đặc biệt vào tệp. Khi người dùng mở tài liệu có cờ MoTW, Microsoft Office sẽ mở tài liệu đó trong Chế độ xem được bảo vệ, ngăn không cho cài đặt các macro độc hại.

Tuy nhiên, trong phần tệp đính kèm Excel của Emotet mới, có thể thấy rằng các tin tặc đang hướng dẫn người dùng sao chép tệp vào các thư mục "Templates" đáng tin cậy, thao tác này sẽ bỏ qua Chế độ xem được bảo vệ của Microsoft Office, ngay cả đối với các tệp có chứa cờ MoTW.

Mã độc Emotet bắt đầu quay trở lại sau 5 tháng ngừng hoạt động - Ảnh 1.

Windows có cảnh báo người dùng sao chép tệp vào thư mục "Templates" yêu cầu quyền quản trị viên, nhưng thực tế là việc người dùng đang cố gắng sao chép tệp cho thấy có nhiều khả năng họ cũng sẽ nhấn nút "Continue".

Mặc dù Windows có cảnh báo người dùng sao chép tệp vào thư mục "Templates" yêu cầu quyền quản trị viên, nhưng thực tế là việc người dùng đang cố gắng sao chép tệp cho thấy rằng có nhiều khả năng họ cũng sẽ nhấn nút "Continue" (Tiếp tục).

Khi tệp đính kèm được khởi chạy từ thư mục "Templates", nó sẽ chỉ cần mở và các macro độc hại tải xuống tệp thực thi của Emotet. Sau khi tải xuống, phần mềm độc hại sẽ lặng lẽ chạy nền trong khi kết nối với máy chủ để được hướng dẫn hoặc cài đặt các payload bổ sung.

Theo Madjar, hiện nay Emotet chưa bắt đầu cài đặt thêm phần mềm độc hại trên các thiết bị bị nhiễm.

Tuy nhiên, trước đây, Emotet cũng được biết đến là đã liên kết với một số chiến dịch thư rác do botnet điều khiển và thậm chí có khả năng cung cấp các payload nguy hiểm hơn như TrickBot, Ryuk hay là Conti, bằng cách cho các nhóm phần mềm độc hại khác thuê mạng botnet của các máy bị xâm nhập.

Kể từ khi băng đảng Conti bị đóng cửa, Emotet được cho là đã hợp tác với hoạt động của các nhóm ransomware BlackCat và Quantum để truy cập ban đầu vào các thiết bị bị xâm nhập./.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Mã độc Emotet bắt đầu quay trở lại sau 5 tháng ngừng hoạt động
POWERED BY ONECMS - A PRODUCT OF NEKO