Операторы Emotet, одного из самых опасных вариантов вредоносного ПО в мире, отказались от использования макросов Microsoft Office для распространения и обратились к файлам ярлыков Windows (.lnk).
Согласно отчету BleepingComputer, исследователи кибербезопасности заметили, что Emotet использовал команды PowerShell, прикрепленные к файлу .lnk, для загрузки и выполнения вредоносного сценария на целевом устройстве.
Говорят, что сценарий относительно хорошо скрыт и не отображается в свойствах файла в разделе «Цель».
Отключить макросы
Файл ярлыка содержит URL-адреса «нескольких» взломанных веб-сайтов, на которых размещен вредоносный скрипт PowerShell. Если жертва запустит файл ярлыка, а на веб-сайте все еще размещено вредоносное ПО, она загрузит его в системную папку Temp со случайным именем, а затем запустит его с помощью regsvr32.exe.
Исследователи кибербезопасности ESET утверждают, что новый метод распространения Emotet лучше всего работает в Мексике, Италии, Японии, Турции и Канаде.
Emotet был вынужден отказаться от макросов после того, как Microsoft запретила пользователям Word, Excel, Access, PowerPoint и Visio запускать макросы VBA в «ненадежных» документах.
В объявлении, сделанном в начале февраля этого года, было заявлено, что все файлы, предоставленные за пределами корпоративной сети, будут считаться «недоверенными», а это означает, что все файлы в одном домене всегда должны иметь возможность сохранять свои макросы.
Макросы — большая проблема как для бизнеса, так и для киберпреступников. Обычно они используются для автоматизации различных задач, таких как импорт или обновление данных из сторонних источников. Но проблема в том, что злоумышленники могут легко использовать их для распространения программ-вымогателей, вредоносных программ, кражи конфиденциальных данных или других гнусных действий.
В течение многих лет преступные группы распространяли вредоносные документы Office на основе макросов, пользуясь доверчивыми или утомленными сотрудниками. Квитанции об оплате, предупреждения об отказе в оплате, предложения о работе, информация о Covid-19 и вакцинах — это лишь некоторые из типов документов, которыми мошенники делятся, чтобы заставить людей запускать макросы и заражать свои терминалы вирусами.
Через BleepingComputer