Злоумышленники рассылают фишинговые письма IRS для установки вредоносного ПО Emotett

В ходе расследования исследователи безопасности из Malwarebytes и Palo Alto Networks unit 42 обнаружили вредоносное ПО Emotet, нацеленное на пользователей с фишинговыми письмами, содержащими поддельные вложения формы W-9.

Emotet — это известная инфекция вредоносным ПО, которая распространяется через фишинговые письма, ранее содержащие документы Microsoft Word и Microsoft Excel с вредоносными макросами, которые устанавливают вредоносное ПО.

Однако, поскольку Microsoft теперь по умолчанию блокирует макросы в загружаемых документах Microsoft Word, вредоносное ПО Emotet переключилось на Microsoft OneNote с встроенными скриптами для установки вредоносного ПО Emolett.

Злоумышленники, управляющие Emotet, обычно используют тематические фишинговые кампании, соответствующие праздникам и годовому налоговому отчету, т.е. налоговому сезону в США. Что касается фишинговой кампании, найденной Malwarebytes, злоумышленники отправляют письма с темой “Форма налога TRS W-9”, выдавая себя за представителя Налоговой службы США.

Читать: Общие магические и мощные магические вредоносные программы, используемые в продвинутых атаках наблюдения

Эти фишинговые письма содержат ZIP-архив с именем W-9 form.zip, который содержит вредоносный документ Word. Документ был увеличен до 500 МБ, чтобы затруднить обнаружение его вредоносности антивирусным программным обеспечением.

Когда Emotet устанавливается, вредоносное ПО начинает красть электронные письма жертвы для будущих атак с повторным использованием цепочки и затем рассылает спам-письма, а в конце устанавливает другое вредоносное ПО, которое предоставляет первоначальный доступ другим злоумышленникам.

Тем не менее, поскольку Microsoft теперь блокирует макросы по умолчанию, пользователи менее склонны проходить через трудности и включать макросы, чтобы заразиться документами Word.

Теперь в фишинговой активности, найденной Palo Alto Unit 42, злоумышленники обходят эти ограничения, используя документ Microsoft OneNote с включенными файлами VBScript, которые устанавливают вредоносное ПО.

После этого фишинговая активность использует электронную почту с повторным использованием цепочки, которая притворяется деловыми партнерами, отправляющими жертвам форму W-9.

Прикрепленный документ OneNote заставит поверить, что он защищен, и запросит пользователя дважды щелкнуть, чтобы правильно просмотреть документ, хотя на самом деле скрыта кнопка “Просмотр“, которая запускает VBScripts.

При открытии встроенного файла VBScript Microsoft OneNote предупреждает пользователя о том, что файл может быть вредоносным, но, к сожалению, как мы знаем, многие пользователи просто игнорируют эти предупреждения и позволяют файлам запускаться. Как только файлы выполняются, VBScript загрузит DLL Emotet и запустит его с помощью regsvr32.exe.

После этого вредоносное ПО тихо работает в фоновом режиме, крадя электронные письма и контакты, а затем ожидает дальнейшей загрузки на устройство.

Поэтому, если вы получите любое письмо, которое утверждает, что содержит форму W-9 или другие налоговые формы, просто сначала просканируйте документ с помощью антивирусного программного обеспечения.

Более того, эти формы отправляются в виде вложений PDF, а не в виде вложений Word, поэтому избегайте их открытия и включения макросов, а лучше удалите письма.

Читать: Обновление кибербезопасности Fortinet не удалось; нулевая уязвимость использована злоумышленниками