24 Ocak 2023Ravie LakshmananSiber Tehdit / Siber Suç
Emotet kötü amaçlı yazılım operasyonu, Bumblebee ve IcedID gibi diğer tehlikeli kötü amaçlı yazılımlar için bir kanal görevi görürken, radarın altından uçma çabasıyla taktiklerini geliştirmeye devam etti.
O yılın başlarında altyapısının yetkililer tarafından koordineli bir şekilde kaldırılmasının ardından 2021’in sonlarında resmi olarak yeniden ortaya çıkan Emotet, kimlik avı e-postaları aracılığıyla dağıtılan kalıcı bir tehdit olmaya devam etti.
TA542 (diğer adıyla Gold Crestwood veya Mummy Spider) olarak izlenen bir siber suç grubuna atfedilen virüs, 2014’te ilk ortaya çıkışından bu yana bir bankacılık truva atından kötü amaçlı yazılım dağıtıcısına dönüştü.
Hizmet olarak kötü amaçlı yazılım (MaaS) ayrıca modülerdir ve güvenliği ihlal edilmiş makinelerden hassas bilgileri sızdırabilen ve diğer kullanım sonrası faaliyetleri yürütebilen bir dizi tescilli ve ücretsiz yazılım bileşeni dağıtma yeteneğine sahiptir.
Emotet’in modül cephaneliğine yapılan son iki ekleme, SMB yayıcı sabit kodlanmış kullanıcı adları ve şifreler listesi ve Chrome web tarayıcısını hedefleyen bir kredi kartı hırsızı kullanarak yanal hareketi kolaylaştırmak için tasarlanmıştır.
Botnet’i içeren son kampanyalar, saldırı zincirini başlatmak için silah haline getirilmiş eklentilere sahip jenerik cazibelerden yararlandı. Ancak makroların, yük dağıtımı ve ilk bulaşma için eskimiş bir yöntem haline gelmesiyle, saldırılar, Emotet’i kötü amaçlı yazılım tespit araçlarını geçmek için başka yaklaşımlara kilitlendi.
BlackBerry, “En yeni Emotet spam e-posta dalgasıyla, ekli .XLS dosyaları, kullanıcıları makroların damlalığı indirmesine izin vermeleri için kandırmak için yeni bir yönteme sahip.” ifşa geçen hafta yayınlanan bir raporda. “Buna ek olarak, yeni Emotet varyantları artık tespitten kaçmak için başka bir yöntem olarak 32 bit’ten 64 bit’e taşındı.”
Yöntem, kurbanlara sahte Microsoft Excel dosyalarını varsayılan Office’e taşıma talimatı vermeyi içerir. Şablonlar klasörü Windows’ta, işletim sistemi tarafından güvenilen bir konumda, Emotet’i teslim etmek üzere belgelere gömülü kötü amaçlı makroları yürütmek için.
Başka bir deyişle, sosyal mühendislik bükümü, internetten indirilen Office dosyalarını yükleyen Mark of the Web (MotW) korumalarını atlamayı mümkün kılar. Korumalı Görünümmakroların ve diğer içeriğin devre dışı bırakıldığı salt okunur mod.
Gelişme, Emotet’in kendini yenileme ve diğer kötü amaçlı yazılımları yayma yönündeki istikrarlı girişimlerine işaret ediyor. Bumblebee ve IcedID.
Kanadalı, “Son sekiz yılı aşkın süredir istikrarlı gelişimiyle Emotet, kaçınma taktikleri açısından daha sofistike olmaya devam etti; kendini daha fazla yaymak için ek modüller ekledi ve şimdi kimlik avı kampanyaları yoluyla kötü amaçlı yazılım yayıyor.” siber güvenlik firması dedi.