Emotet kötü amaçlı yazılımı, dünya çapındaki posta kutularına kötü amaçlı belgeler gönderen birden fazla spam kampanyasıyla on aylık bir aradan sonra dün harekete geçti.
Emotet, kötü niyetli ekleri olan spam kampanyaları aracılığıyla dağıtılan bir kötü amaçlı yazılım bulaşmasıdır. Bir kullanıcı eki açarsa, kötü amaçlı makrolar veya JavaScript, Emotet DLL dosyasını indirir ve PowerShell kullanarak belleğe yükler.
Kötü amaçlı yazılım, yüklendikten sonra, gelecekteki spam kampanyalarında kullanmak üzere e-postaları arayacak, çalacak ve genellikle fidye yazılımı enfeksiyonlarına yol açan TrickBot veya Qbot gibi ek yükleri bırakacaktır.
Emotet spam göndermesi yeniden başlıyor
Dün gece, siber güvenlik araştırmacısı Brad Duncan, Emotet botnetinin Emotet kötü amaçlı yazılımını cihazlara bulaştırmak için birden fazla E-posta kampanyasını nasıl spam göndermeye başladığına dair bir SANS İşleyici Günlüğü yayınladı.
Duncan’a göre, spam kampanyaları, alıcıyı ekli kötü niyetli Word, Excel ve parola korumalı ZIP dosyalarını açmaya çekmek için tekrarlama zinciri E-postalarını kullanıyor.
Yanıt zinciri kimlik avı E-postaları, daha önce çalınan E-posta ileti dizilerinin, kötü amaçlı yazılımları diğer kullanıcılara dağıtmak için sahte yanıtlarla birlikte kullanılmasıdır.
Duncan tarafından paylaşılan örneklerde, Emotet’in “kayıp cüzdan”, CyberMonday satışı, iptal edilen toplantılar, siyasi bağış kampanyaları ve diş sigortasının feshi ile ilgili yanıt zincirlerini kullandığını görebiliriz. Bu E-postalara, kötü amaçlı makrolar içeren Excel veya Word belgeleri ya da kötü amaçlı bir Word belgesi içeren parola korumalı bir ZIP dosyası eki eklenir ve örnekler aşağıda gösterilmiştir.
Excel eki olan emotet e-postası
Word belgesi eki olan emotet e-postası
Parola korumalı bir ZIP dosyası içeren ifade e-postası
Şu anda yeni Emotet spam kampanyalarında dağıtılan iki farklı kötü amaçlı belge var.
Birincisi, belgenin yalnızca masaüstlerinde veya dizüstü bilgisayarlarda çalışacağını ve kullanıcının içeriği doğru şekilde görüntülemek için ‘İçeriği Etkinleştir’i tıklaması gerektiğini belirten bir Excel belge şablonu.
Kötü amaçlı Microsoft Excel eki
Kötü niyetli Word eki ‘Kızıl Şafak’ şablonunu kullanıyor ve belge “Korumalı” modda olduğundan, kullanıcıların içeriği doğru şekilde görüntülemek için içeriği ve düzenlemeyi etkinleştirmesi gerektiğini söylüyor.
Microsoft Word Red Dawn eki
Emotet ekleri cihazlara nasıl bulaşır?
Emotet eklerini açtığınızda, belge şablonu önizlemenin kullanılamadığını ve içeriği düzgün bir şekilde görüntülemek için ‘Düzenlemeyi Etkinleştir’ ve ‘İçeriği Etkinleştir’i tıklamanız gerektiğini belirtir.
Ancak, bu düğmelere tıkladığınızda, Emotet yükleyici DLL’sini güvenliği ihlal edilmiş bir WordPress sitesinden indirmek ve onu C:\ProgramData klasörüne kaydetmek için bir PowerShell komutu başlatan kötü amaçlı makrolar etkinleştirilecektir.
Emotet DLL dosyasını indirmek ve çalıştırmak için PowerShell komutu
İndirildikten sonra DLL, C:\Windows\SysWo64\rundll32.exe kullanılarak başlatılır. Bu, DLL’yi %LocalAppData% altındaki rastgele bir klasöre kopyalar ve ardından DLL’yi bu klasörden yeniden çalıştırır.
Yeniden adlandırılan Emotet DLL dosyasını içeren klasör
Bir süre sonra Emotet, Windows başladığında kötü amaçlı yazılımı başlatmak için HKCU\Software\Microsoft\Windows\CurrentVersion\Run altında bir başlangıç değeri yapılandıracaktır.
Başlangıçta Emotet’i yüklemek için kullanılan Registry Run girişi
Emotet kötü amaçlı yazılımı artık komut ve kontrol sunucusundan komutların yürütülmesini beklerken arka planda sessizce çalışmaya devam edecek.
Bu komutlar, çalınacak E-posta aramak, diğer bilgisayarlara yayılmak veya TrickBot veya Qbot truva atları gibi ek yükler yüklemek olabilir.
Emotet saldırı akışı
Şu anda, BleepingComputer, Duncan’ın testleri tarafından da onaylanan Emotet tarafından düşürülen herhangi bir ek yük görmedi.
Duncan, BleepingComputer’a “Yalnızca Emotet’ten etkilenen ana bilgisayarlarımdan gelen istenmeyen posta etkinliğini gördüm” dedi. “Sanırım Emotet bu hafta yeniden kuruluyor.”
Araştırmacı, “Belki önümüzdeki haftalarda bazı ek kötü amaçlı yazılım yükleri göreceğiz” dedi.
Emotet’e karşı savunma
Kötü amaçlı yazılım ve botnet izleme kuruluşu Abuse.ch, çevre güvenlik duvarlarının komut ve kontrol sunucularıyla iletişimi engellemek için engelleyebileceği 245 komut ve kontrol sunucusunun bir listesini yayınladı.
C2’lerle iletişimi engellemek, Emotet’in güvenliği ihlal edilmiş cihazlarda daha fazla yük bırakmasını da önleyecektir.
Uluslararası bir kolluk kuvveti operasyonu, Ocak 2021’de Emotet botnet’i çökertti ve on ay boyunca kötü amaçlı yazılım etkin olmadı.
Ancak, Pazar gecesinden itibaren aktif TrickBot enfeksiyonları, Emotet yükleyiciyi zaten virüslü cihazlara düşürmeye başladı ve botnet’i spam etkinliği için yeniden oluşturdu.
Emotet’in geri dönüşü, tüm ağ yöneticilerinin, güvenlik uzmanlarının ve Windows yöneticilerinin yeni gelişmeler için izlemesi gereken önemli bir olaydır.
Geçmişte, Emotet en yaygın olarak dağıtılan kötü amaçlı yazılım olarak kabul edildi ve önceki sıralamasını geri kazanma şansı yüksek.
