Mã độc Emotet bắt đầu quay trở lại sau 5 tháng ngừng hoạt động

An toàn thông tin - Ngày đăng : 09:37, 04/11/2022

Sau một “kỳ nghỉ” kéo dài 5 tháng, phần mềm độc hại Emotet đã một lần nữa quay trở lại hoạt động với chiến dịch phát tán email độc hại tới người dùng thông qua các email rác.

Emotet là một phần mềm độc hại lây nhiễm được phân phối thông qua các chiến dịch lừa đảo chứa các tài liệu Excel hoặc Word độc hại. Khi người dùng mở các tài liệu này và bật macro, Emotet DLL sẽ được tải xuống và tải vào bộ nhớ.

Sau khi được tải về, phần mềm độc hại sẽ tìm kiếm và đánh cắp email để sử dụng trong các chiến dịch thư rác trong tương lai và cài đặt thêm các payload khác như Beacon trong công cụ Cobalt Strike hoặc phần mềm độc hại khác thường dẫn đến các cuộc tấn công bằng ransomware.

Emotet, được coi là phần mềm độc hại được phát tán nhiều nhất trong quá khứ, đứng sau một số chiến dịch thư rác do botnet điều khiển và các cuộc tấn công ransomware trong thập kỷ qua, đột ngột ngừng hoạt động gửi thư rác từ ngày 13/6/2022.

Tuy nhiên, mới đây các nhà nghiên cứu của Emotet Cryptolaemus đã cho biết ngày 2/11/2022, Emotet đã đột nhiên hoạt động quay trở lại và gửi thư rác đến các địa chỉ email trên toàn thế giới.

Chia sẻ với BleepingComputer, nhà nghiên cứu mối đe dọa Proofpoint và là thành viên Cryptolaemus, Tommy Madjar cho biết các chiến dịch email Emotet ngày nay đang sử dụng chuỗi trả lời email bị đánh cắp để phân phối các tệp đính kèm Excel độc hại.

Từ các mẫu được tải lên VirusTotal, BleepingComputer đã thấy các tệp đính kèm được nhắm mục tiêu đến người dùng trên toàn thế giới dưới nhiều ngôn ngữ và tên tệp khác nhau, đánh lừa người dùng với việc giả mạo các mẫu hóa đơn, biểu mẫu điện tử và nhiều hình thức khác.

Chiến dịch Emotet mới này cũng sử dụng một mẫu tệp đính kèm Excel mới có chứa các hướng dẫn để vượt qua Chế độ xem được bảo vệ của Microsoft (Microsoft's Protected View).

Trên thực tế, khi một tệp được tải xuống từ Internet, bao gồm dưới dạng tệp đính kèm email, Microsoft sẽ thêm một cờ Mark-of-the-Web (MoTW) đặc biệt vào tệp. Khi người dùng mở tài liệu có cờ MoTW, Microsoft Office sẽ mở tài liệu đó trong Chế độ xem được bảo vệ, ngăn không cho cài đặt các macro độc hại.

Tuy nhiên, trong phần tệp đính kèm Excel của Emotet mới, có thể thấy rằng các tin tặc đang hướng dẫn người dùng sao chép tệp vào các thư mục "Templates" đáng tin cậy, thao tác này sẽ bỏ qua Chế độ xem được bảo vệ của Microsoft Office, ngay cả đối với các tệp có chứa cờ MoTW.

Mã độc Emotet bắt đầu quay trở lại sau 5 tháng ngừng hoạt động - Ảnh 1.

Windows có cảnh báo người dùng sao chép tệp vào thư mục "Templates" yêu cầu quyền quản trị viên, nhưng thực tế là việc người dùng đang cố gắng sao chép tệp cho thấy có nhiều khả năng họ cũng sẽ nhấn nút "Continue".

Mặc dù Windows có cảnh báo người dùng sao chép tệp vào thư mục "Templates" yêu cầu quyền quản trị viên, nhưng thực tế là việc người dùng đang cố gắng sao chép tệp cho thấy rằng có nhiều khả năng họ cũng sẽ nhấn nút "Continue" (Tiếp tục).

Khi tệp đính kèm được khởi chạy từ thư mục "Templates", nó sẽ chỉ cần mở và các macro độc hại tải xuống tệp thực thi của Emotet. Sau khi tải xuống, phần mềm độc hại sẽ lặng lẽ chạy nền trong khi kết nối với máy chủ để được hướng dẫn hoặc cài đặt các payload bổ sung.

Theo Madjar, hiện nay Emotet chưa bắt đầu cài đặt thêm phần mềm độc hại trên các thiết bị bị nhiễm.

Tuy nhiên, trước đây, Emotet cũng được biết đến là đã liên kết với một số chiến dịch thư rác do botnet điều khiển và thậm chí có khả năng cung cấp các payload nguy hiểm hơn như TrickBot, Ryuk hay là Conti, bằng cách cho các nhóm phần mềm độc hại khác thuê mạng botnet của các máy bị xâm nhập.

Kể từ khi băng đảng Conti bị đóng cửa, Emotet được cho là đã hợp tác với hoạt động của các nhóm ransomware BlackCat và Quantum để truy cập ban đầu vào các thiết bị bị xâm nhập./.

MP