Angreifer senden IRS-Phishing-E-Mails zur Installation von Emotett-Malware

In einer Entdeckung fanden Sicherheitsforscher von Malwarebytes und Palo Alto Networks Unit 42 die Emotet-Malware, die Benutzer mit Phishing-E-Mails angreift, die gefälschte W-9-Steuerformular-Anhänge enthalten.

Die Emotet ist eine berüchtigte Malware-Infektion, die durch Phishing-E-Mails verbreitet wird, die zuvor Microsoft Word- und Microsoft Excel-Dokumente mit bösartigen Makros enthielten, die die Malware installieren.

Da Microsoft jedoch jetzt standardmäßig die Makros in heruntergeladenen Microsoft Word-Dokumenten blockiert, hat sich die Emotet-Malware auf Microsoft OneNote mit eingebetteten Skripten verlagert, um die Emotett-Malware zu installieren.

Die Angreifer, die Emotet betreiben, verwenden im Allgemeinen thematische Phishing-Kampagnen, die mit den Feiertagen und den jährlichen Steuererklärungen übereinstimmen, d.h. der US-Steuersaison. Was die von Malwarebytes entdeckte Phishing-Kampagne betrifft, so senden die Angreifer E-Mails mit dem Betreff “TRS Steuerformular W-9”, während sie sich als Autorität des Internal Revenue Service ausgeben.

Lesen: Häufige Magic- und Power-Magic-Malware, die in fortgeschrittenen Überwachungsangriffen verwendet wird

Diese Phishing-E-Mails haben ein ZIP-Archiv namens W-9 form.zip, das ein bösartiges Word-Dokument enthält. Das Dokument wurde auf 500 MB aufgebläht, um es der Sicherheitssoftware zu erschweren, zu erkennen, ob es bösartig ist.

Sobald die Emotet installiert ist, beginnt die Malware, die E-Mails des Opfers zu stehlen, um zukünftige Replay-Chain-Angriffe durchzuführen, und spamt dann E-Mails, und am Ende installiert sie andere Malware, die den ersten Zugriff auf andere Bedrohungsakteure ermöglicht.

Das heißt, da Microsoft jetzt standardmäßig Makros blockiert, ist es weniger wahrscheinlich, dass die Benutzer den Schmerz durchlaufen und die Makros aktivieren und sich durch Word-Dokumente infizieren.

Jetzt, in der von Palo Alto Unit 42 entdeckten Phishing-Aktivität, umgehen die Angreifer diese Einschränkungen, indem sie Microsoft OneNote-Dokumente mit aktivierten VBScript-Dateien verwenden, die die Malware installieren.

Danach nutzt die Phishing-Aktivität die Replay-Chain-E-Mail, die vorgibt, die Geschäftspartner zu sein, die den Opfern das W-9-Formular senden.

Das angehängte OneNote-Dokument lässt glauben, dass es geschützt ist und fordert den Benutzer auf, doppelt zu klicken, um das Dokument korrekt anzuzeigen, obwohl das, was verborgen ist, die Schaltfläche “Anzeigen” ist, die VBScripts enthält, die stattdessen gestartet werden.

Beim Öffnen der eingebetteten VBScript-Datei warnt Microsoft OneNote den Benutzer, dass die Datei bösartig sein könnte, aber leider ignorieren viele Benutzer einfach diese Warnungen und erlauben den Dateien, ausgeführt zu werden. Sobald die Dateien ausgeführt werden, lädt VBScript die Emotet-DLL herunter und führt sie mit regsvr32.exe aus.

Danach läuft die Malware leise im Hintergrund, stiehlt E-Mails und Kontakte und wartet dann darauf, dass eine weitere Payload auf das Gerät installiert wird.

Wenn Sie also eine E-Mail erhalten, die behauptet, das W-9-Formular oder andere Steuerformulare zu haben, scannen Sie das Dokument zuerst mit Antiviren-Software.

Darüber hinaus werden diese Formulare als PDF-Anhänge gesendet, nicht als Word-Anhänge, also vermeiden Sie es, sie zu öffnen und Makros zu aktivieren, und löschen Sie stattdessen die E-Mails.

Lesen: Fortinet Cyber-Sicherheitsupdate schlägt fehl; Zero-Day von Bedrohungsakteuren ausgenutzt