Операторы Emotet, одного из самых опасных вариантов вредоносного ПО в мире, отказались от использования макросов Microsoft Office для распространения и обратились к файлам ярлыков Windows (.lnk).
Согласно отчету BleepingComputer, исследователи кибербезопасности заметили, что Emotet использовала команды PowerShell, прикрепленные к файлу .lnk, для загрузки и выполнения вредоносного сценария на целевом устройстве.
Говорят, что сценарий относительно хорошо спрятан и не отображается в свойствах файла в разделе «Цель».
отключить макросы
Файл ярлыка содержит URL-адреса «нескольких» скомпрометированных веб-сайтов, на которых хранится вредоносный сценарий PowerShell. Если жертва запускает файл ярлыка, а вредоносная программа все еще находится на веб-сайте, она загружает ее во временную папку системы со случайным именем, а затем запускает с помощью regsvr32.exe.
Исследователи кибербезопасности ESET говорят, что новый метод распространения Emotet лучше всего работает в Мексике, Италии, Японии, Турции и Канаде.
Emotet был вынужден отказаться от макросов после того, как Microsoft запретила пользователям Word, Excel, Access, PowerPoint и Visio запускать макросы VBA в «ненадежных» документах.
В объявлении, сделанном в начале февраля этого года, было указано, что все файлы, которыми обмениваются из-за пределов корпоративной сети, будут считаться «ненадежными», что означает, что все файлы из одного домена всегда должны иметь возможность сохранять свои макросы.
Макросы — большая проблема как для бизнеса, так и для киберпреступников. Обычно они используются для автоматизации различных задач, таких как импорт или обновление данных из сторонних источников. Но проблема в том, что злоумышленники могут легко использовать их для распространения программ-вымогателей, вредоносных программ, кражи конфиденциальных данных или других гнусных действий.
В течение многих лет преступные группы распространяли вредоносные документы Office на основе макросов, охотясь на доверчивых или истощенных сотрудников. Платежные квитанции, предупреждения об отказе платежа, предложения работы, информация о Covid-19 и прививках — это лишь некоторые из типов документов, которыми мошенники делятся, чтобы люди запускали макросы и заражали свои терминалы вирусами.
Через BleepingComputer
