OzzTech - E-postalara Ulaşan Yeni Emotet Spam Kampanyaları

E-postalara Ulaşan Yeni Emotet Spam Kampanyaları

Emotet Spam

Emotet kötü amaçlı yazılımı, dünya çapındaki posta kutularına kötü amaçlı belgeler gönderen birden fazla spam kampanyasıyla on aylık bir aradan sonra dün harekete geçti.

Emotet, kötü niyetli ekleri olan spam kampanyaları aracılığıyla dağıtılan bir kötü amaçlı yazılım bulaşmasıdır. Bir kullanıcı eki açarsa, kötü amaçlı makrolar veya JavaScript, Emotet DLL dosyasını indirir ve PowerShell kullanarak belleğe yükler.

Kötü amaçlı yazılım, yüklendikten sonra, gelecekteki spam kampanyalarında kullanmak üzere e-postaları arayacak, çalacak ve genellikle fidye yazılımı enfeksiyonlarına yol açan TrickBot veya Qbot gibi ek yükleri bırakacaktır.

Emotet spam göndermesi yeniden başlıyor

Dün gece, siber güvenlik araştırmacısı Brad Duncan, Emotet botnetinin Emotet kötü amaçlı yazılımını cihazlara bulaştırmak için birden fazla E-posta kampanyasını nasıl spam göndermeye başladığına dair bir SANS İşleyici Günlüğü yayınladı.

Duncan'a göre, spam kampanyaları, alıcıyı ekli kötü niyetli Word, Excel ve parola korumalı ZIP dosyalarını açmaya çekmek için tekrarlama zinciri E-postalarını kullanıyor.

Yanıt zinciri kimlik avı E-postaları, daha önce çalınan E-posta ileti dizilerinin, kötü amaçlı yazılımları diğer kullanıcılara dağıtmak için sahte yanıtlarla birlikte kullanılmasıdır.

Duncan tarafından paylaşılan örneklerde, Emotet'in "kayıp cüzdan", CyberMonday satışı, iptal edilen toplantılar, siyasi bağış kampanyaları ve diş sigortasının feshi ile ilgili yanıt zincirlerini kullandığını görebiliriz. Bu E-postalara, kötü amaçlı makrolar içeren Excel veya Word belgeleri ya da kötü amaçlı bir Word belgesi içeren parola korumalı bir ZIP dosyası eki eklenir ve örnekler aşağıda gösterilmiştir.

Excel eki olan emotet e-postası

Word belgesi eki olan emotet e-postası

Parola korumalı bir ZIP dosyası içeren ifade e-postası

Şu anda yeni Emotet spam kampanyalarında dağıtılan iki farklı kötü amaçlı belge var.

Birincisi, belgenin yalnızca masaüstlerinde veya dizüstü bilgisayarlarda çalışacağını ve kullanıcının içeriği doğru şekilde görüntülemek için 'İçeriği Etkinleştir'i tıklaması gerektiğini belirten bir Excel belge şablonu.

Kötü amaçlı Microsoft Excel eki

Kötü niyetli Word eki 'Kızıl Şafak' şablonunu kullanıyor ve belge "Korumalı" modda olduğundan, kullanıcıların içeriği doğru şekilde görüntülemek için içeriği ve düzenlemeyi etkinleştirmesi gerektiğini söylüyor.

Microsoft Word Red Dawn eki

Emotet ekleri cihazlara nasıl bulaşır?

Emotet eklerini açtığınızda, belge şablonu önizlemenin kullanılamadığını ve içeriği düzgün bir şekilde görüntülemek için 'Düzenlemeyi Etkinleştir' ve 'İçeriği Etkinleştir'i tıklamanız gerektiğini belirtir.

Ancak, bu düğmelere tıkladığınızda, Emotet yükleyici DLL'sini güvenliği ihlal edilmiş bir WordPress sitesinden indirmek ve onu C:\ProgramData klasörüne kaydetmek için bir PowerShell komutu başlatan kötü amaçlı makrolar etkinleştirilecektir.

Emotet DLL dosyasını indirmek ve çalıştırmak için PowerShell komutu

İndirildikten sonra DLL, C:\Windows\SysWo64\rundll32.exe kullanılarak başlatılır. Bu, DLL'yi %LocalAppData% altındaki rastgele bir klasöre kopyalar ve ardından DLL'yi bu klasörden yeniden çalıştırır.

Yeniden adlandırılan Emotet DLL dosyasını içeren klasör

Bir süre sonra Emotet, Windows başladığında kötü amaçlı yazılımı başlatmak için HKCU\Software\Microsoft\Windows\CurrentVersion\Run altında bir başlangıç değeri yapılandıracaktır.

Başlangıçta Emotet'i yüklemek için kullanılan Registry Run girişi

Emotet kötü amaçlı yazılımı artık komut ve kontrol sunucusundan komutların yürütülmesini beklerken arka planda sessizce çalışmaya devam edecek.

Bu komutlar, çalınacak E-posta aramak, diğer bilgisayarlara yayılmak veya TrickBot veya Qbot truva atları gibi ek yükler yüklemek olabilir.

Emotet saldırı akışı

Şu anda, BleepingComputer, Duncan'ın testleri tarafından da onaylanan Emotet tarafından düşürülen herhangi bir ek yük görmedi.

Duncan, BleepingComputer'a "Yalnızca Emotet'ten etkilenen ana bilgisayarlarımdan gelen istenmeyen posta etkinliğini gördüm" dedi. "Sanırım Emotet bu hafta yeniden kuruluyor."

Araştırmacı, "Belki önümüzdeki haftalarda bazı ek kötü amaçlı yazılım yükleri göreceğiz" dedi.

Emotet'e karşı savunma

Kötü amaçlı yazılım ve botnet izleme kuruluşu Abuse.ch, çevre güvenlik duvarlarının komut ve kontrol sunucularıyla iletişimi engellemek için engelleyebileceği 245 komut ve kontrol sunucusunun bir listesini yayınladı.

C2'lerle iletişimi engellemek, Emotet'in güvenliği ihlal edilmiş cihazlarda daha fazla yük bırakmasını da önleyecektir.

Uluslararası bir kolluk kuvveti operasyonu, Ocak 2021'de Emotet botnet'i çökertti ve on ay boyunca kötü amaçlı yazılım etkin olmadı.

Ancak, Pazar gecesinden itibaren aktif TrickBot enfeksiyonları, Emotet yükleyiciyi zaten virüslü cihazlara düşürmeye başladı ve botnet'i spam etkinliği için yeniden oluşturdu.

Emotet'in geri dönüşü, tüm ağ yöneticilerinin, güvenlik uzmanlarının ve Windows yöneticilerinin yeni gelişmeler için izlemesi gereken önemli bir olaydır.

Geçmişte, Emotet en yaygın olarak dağıtılan kötü amaçlı yazılım olarak kabul edildi ve önceki sıralamasını geri kazanma şansı yüksek.


İlginizi Çekebilecek Makaleler
FortiGate ACME Sertifika Desteği
Siber Güvenlik

FortiGate ACME Sertifika Desteği

Ocak 24, 2022 1:22

Otomatik Sertifika Yönetim Ortamı (ACME), RFC 8555’te tanımlandığı üzere, ücretsiz SSL sunucu sertifikaları sağlamak için genel Let’s...

Android Reverse Mühendisliği Araçları Örnek Vakalar
Siber Güvenlik

Android Reverse Mühendisliği Araçları Örnek Vakalar

Ocak 24, 2022 12:39

Bir önceki yazıda yeni çıkan android reverse mühendisliği araçları hakkında bilgi vermiştim. Bu yazımda...

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor
Siber Güvenlik

Emotet Artık Alışılmadık IP Adreslerini Kullanıyor

Ocak 24, 2022 9:44

Emotet kötü amaçlı yazılım botnetinin dağıtımını içeren sosyal mühendislik kampanyaları, güvenlik çözümlerinin tespitinden kaçınmak...

FortiWeb Kurulumu 5-Operation Modu
Siber Güvenlik

FortiWeb Kurulumu 5-Operation Modu

Ocak 24, 2022 7:49

FortiWeb kurulumunu anlattığımız beşinci yazımızda operation modu ve FortiWeb cihazı açıldıktan sonra, FortiWeb cihazını...

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme
Siber Güvenlik

FortiWeb Kurulumu 4- Admin Şifresi Değiştirme

Ocak 23, 2022 10:21

FortiWeb kurulumunu anlattığımız serinin dördüncü yazısında Admin şifresi nasıl değiştirceğinizi, saat ve günü nasıl...

Metasploittable 2
Siber Güvenlik

Metasploittable 2

Ocak 22, 2022 11:57

Metasploittable 2 Nedir? Neden Kullanılır? Nasıl Kurulur? Metasploittable 2 Metasploit firması tarafından bizlerin güvenli...

FortiWeb Kurulumu 3- Firmware Güncellenmesi
Siber Güvenlik

FortiWeb Kurulumu 3- Firmware Güncellenmesi

Ocak 22, 2022 11:56

FortiWeb kurulumunu anlattığımız serinin üçüncü yazısında Firmware güncellemesini anlatacağız. FortiWeb cihazınız gönderildiğinde en son...

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama
Siber Güvenlik

FortiWeb Kurulumu 2- Web UI ve CLI Bağlama

Ocak 21, 2022 7:50

FortiWeb kurulumu yazımızın ikinci serisinde Web UI veya CLI bağlamanın nasıl yapılacağını anlatacağız. Eğer...

Yapay Zeka Nedir?
Yazılım Geliştirme

Yapay Zeka Nedir?

Ocak 20, 2022 10:57

Sürekli olarak değişen, gelişen ve oldukça hızlı bir şekilde boyut atlayan, günümüze kadar gelen...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.