Emotet חוזר בקמפיין אגרסיבי תוך שימוש בטכניקות פישינג
"הקמפיין מבוצע על ידי הפצת מסמכי Office כתצרופת לדואר אלקטרוני או כקישור בגוף המייל, שמפנה את המשתמש לאתר שנפרץ", מסבירים בחברת SentinelOne
עמי רוחקס דומבה
| 23/09/2020
bigstock
הרושעה הידועה לשמצה Emotet חזרה לקמפיין דיוג נוסף תוך שימוש בMicrosoft Office. "זיהינו את החזרה של Emotet בקמפיין גדול בחודש יולי. מאז, אנחנו מזהים בכל שבוע מספר קמפיינים חדשים", מסביר אלכס ואזנה, אנליסט סייבר בחברת SentinelOne.
"רוב הקמפיינים מכוונים נגד תאגידים וחברות עסקיות והם מיועדים לגרום לגניבת פרטי משתמשים. Emotet התגלתה בשנת 2014 והיא סווגה כסוס טרויאני בתחום הבנקאות, אך מאז היא שודרגה על ידי גורמים עוינים כגון והוספה לה יכולות של בוטנט (botnet). לרוב היא מופעלת במקבל לתוכנות לגניבת מידע, תוכנות כופר ותולעים.
"הקמפיין מבוצע על ידי הפצת מסמכי Office כתצרופת לדואר אלקטרוני או כקישור בגוף המייל, שמפנה את המשתמש לאתר שנפרץ, שממנו הוא מוריד את הקובץ לאחר מכן בחשאיות למחשב הקורבן. התוכנה הזדוניות Emotet משנה לעתים קרובות את שרתי הפיקוד והשליטה שלהן ואת סוג הנזק שהן גורמות בניסיון למנוע זיהוי על ידי מערכות הגנה, כך ושאנו נתקלים בגרסאות חדשות של Emotet בתכיפות גבוהה למדי."
לפי ואזנה, שיטת ההדבקה אמנם משתנה, אך בדרך כלל מדובר במסמך Word המתחזה לחשבונית, הצעת מחיר, חידוש מנוי או מכתב מהבנק. המסמך מציג עמוד פתיחה אך לא מאפשר לעיין בתוכן עצמו אלא אם כן המשתמש יפתח את אפשרות העריכה ובכך יעזוב את התצוגה המוגנת של המסמך. בעקבות הפתיחה, תוכנות זדוניות מבצעות פקודות מאקרו נסתרות, שמפעילות סקריפט של PowerShell, שמייבא את הקוד הנגוע של התוכנה, לרוב מאתר שנפרץ, ואז מפעיל אותו.
ברגע שהמחשב נדבק, התוכנה הזדונית תשתמש ביכולות דמויות-תולעת כדי להתפשט למחשבים אחרים ברשת, באמצעות טכניקות שונות, וכך יופעלו מחשבים נוספים כדי להפיץ את התוכנה הזדונית ואולי גם ישמשו כחלק ממתקפת בוטנט.
מכיוון שהמסמכים שונים מקמפיין לקמפיין ותוכנם משתנה כל הזמן, לא ניתן להסתמך על זיהוי סטטי מבוסס-Hash. לכן, סביר להניח שפתרונות אבטחת דואר אלקטרוני שמסתמכים על מנועי אנטי-וירוס כדי לאתר תוכנות זדוניות לא יועילו. הזיהוי חייב להתבסס על זיהוי התנהגותי, כגון המנוע של SentinelOne.
"הקמפיין מבוצע על ידי הפצת מסמכי Office כתצרופת לדואר אלקטרוני או כקישור בגוף המייל, שמפנה את המשתמש לאתר שנפרץ", מסבירים בחברת SentinelOne
bigstock
הרושעה הידועה לשמצה Emotet חזרה לקמפיין דיוג נוסף תוך שימוש בMicrosoft Office. "זיהינו את החזרה של Emotet בקמפיין גדול בחודש יולי. מאז, אנחנו מזהים בכל שבוע מספר קמפיינים חדשים", מסביר אלכס ואזנה, אנליסט סייבר בחברת SentinelOne.
"רוב הקמפיינים מכוונים נגד תאגידים וחברות עסקיות והם מיועדים לגרום לגניבת פרטי משתמשים. Emotet התגלתה בשנת 2014 והיא סווגה כסוס טרויאני בתחום הבנקאות, אך מאז היא שודרגה על ידי גורמים עוינים כגון והוספה לה יכולות של בוטנט (botnet). לרוב היא מופעלת במקבל לתוכנות לגניבת מידע, תוכנות כופר ותולעים.
"הקמפיין מבוצע על ידי הפצת מסמכי Office כתצרופת לדואר אלקטרוני או כקישור בגוף המייל, שמפנה את המשתמש לאתר שנפרץ, שממנו הוא מוריד את הקובץ לאחר מכן בחשאיות למחשב הקורבן. התוכנה הזדוניות Emotet משנה לעתים קרובות את שרתי הפיקוד והשליטה שלהן ואת סוג הנזק שהן גורמות בניסיון למנוע זיהוי על ידי מערכות הגנה, כך ושאנו נתקלים בגרסאות חדשות של Emotet בתכיפות גבוהה למדי."
לפי ואזנה, שיטת ההדבקה אמנם משתנה, אך בדרך כלל מדובר במסמך Word המתחזה לחשבונית, הצעת מחיר, חידוש מנוי או מכתב מהבנק. המסמך מציג עמוד פתיחה אך לא מאפשר לעיין בתוכן עצמו אלא אם כן המשתמש יפתח את אפשרות העריכה ובכך יעזוב את התצוגה המוגנת של המסמך. בעקבות הפתיחה, תוכנות זדוניות מבצעות פקודות מאקרו נסתרות, שמפעילות סקריפט של PowerShell, שמייבא את הקוד הנגוע של התוכנה, לרוב מאתר שנפרץ, ואז מפעיל אותו.
ברגע שהמחשב נדבק, התוכנה הזדונית תשתמש ביכולות דמויות-תולעת כדי להתפשט למחשבים אחרים ברשת, באמצעות טכניקות שונות, וכך יופעלו מחשבים נוספים כדי להפיץ את התוכנה הזדונית ואולי גם ישמשו כחלק ממתקפת בוטנט.
מכיוון שהמסמכים שונים מקמפיין לקמפיין ותוכנם משתנה כל הזמן, לא ניתן להסתמך על זיהוי סטטי מבוסס-Hash. לכן, סביר להניח שפתרונות אבטחת דואר אלקטרוני שמסתמכים על מנועי אנטי-וירוס כדי לאתר תוכנות זדוניות לא יועילו. הזיהוי חייב להתבסס על זיהוי התנהגותי, כגון המנוע של SentinelOne.
