Mã độc Emotet trở lại và lợi hại hơn xưa

Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm soát của các giải pháp bảo mật và hoạt động như một đường dẫn cho các phần mềm độc hại nguy hiểm khác như Bumblebee và IcedID.

Emotet, chính thức hoạt động trở lại vào cuối năm 2021 sau khi cơ quan chức năng phối hợp gỡ bỏ cơ sở hạ tầng của nó vào đầu năm đó, tiếp tục là một mối đe dọa dai dẳng được phát tán qua email lừa đảo.

Được quy cho một nhóm tội phạm mạng được theo dõi là TA542 (còn gọi là Gold Crestwood hoặc Mummy Spider), loại vi-rút này đã phát triển từ trojan ngân hàng thành kẻ phân phối phần mềm độc hại kể từ lần đầu tiên xuất hiện vào năm 2014.

Phần mềm độc hại dưới dạng dịch vụ (MaaS) cũng là mô-đun, có khả năng triển khai một loạt các thành phần phần mềm độc quyền và phần mềm miễn phí có thể lấy cắp thông tin nhạy cảm từ các máy bị xâm nhập và thực hiện các hoạt động hậu khai thác khác.

Hai phiên bản bổ sung mới nhất cho mô-đun của Emotet bao gồm một bộ phân phối SMB được thiết kế để tạo điều kiện thuận lợi cho việc di chuyển ngang bằng cách sử dụng danh sách tên người dùng và mật khẩu được mã hóa cứng và một kẻ đánh cắp thẻ tín dụng nhắm mục tiêu vào trình duyệt web Chrome.

Các chiến dịch gần đây liên quan đến botnet đã tận dụng các mồi nhử chung với các tệp đính kèm được vũ khí hóa để bắt đầu chuỗi tấn công. Nhưng với việc macro trở thành một phương pháp phân phối tải trọng lỗi thời và lây nhiễm ban đầu, các cuộc tấn công đã sử dụng các phương pháp khác để đánh lén Emotet qua các công cụ phát hiện phần mềm độc hại.

BlackBerry tiết lộ trong một báo cáo được công bố vào tuần trước: "Với làn sóng email spam Emotet mới nhất, các tệp .XLS được đính kèm có một phương pháp mới để lừa người dùng cho phép macro tải xuống trình nhỏ giọt". "Thêm vào đó, các biến thể Emotet mới hiện đã chuyển từ 32 bit sang 64 bit, như một phương pháp khác để tránh bị phát hiện."

Phương pháp này liên quan đến việc hướng dẫn nạn nhân di chuyển các tệp Microsoft Excel giả mạo vào thư mục Office Templates mặc định trong Windows, một vị trí được hệ điều hành tin cậy, để thực thi các macro độc hại được nhúng trong tài liệu nhằm phân phối Emotet.

Nói cách khác, khuynh hướng kỹ thuật xã hội giúp có thể bỏ qua các biện pháp bảo vệ Mark of the Web (MotW), vốn tải các tệp Office được tải xuống từ internet trong Chế độ xem được bảo vệ, chế độ chỉ đọc với macro và nội dung khác bị vô hiệu hóa.

"Với sự phát triển ổn định trong hơn 8 năm qua, Emotet đã tiếp tục trở nên tinh vi hơn về các chiến thuật trốn tránh; đã thêm các mô-đun bổ sung nhằm nỗ lực tự lan truyền hơn nữa và hiện đang phát tán phần mềm độc hại thông qua các chiến dịch lừa đảo", người Canada công ty an ninh mạng cho biết.

Hương – Theo TheHackerNews