תַקצִיר
Emotet נחשבת לנוזקה הנפוצה ביותר, ההרסנית והיקרה ביותר לתיקון כיום (1). היא מתפשטת בעיקר באמצעות הודעות דוא"ל פישינג המכילות קישור זדוני או מסמך נגוע. לאחר שהקורבנות מורידים את הקובץ או לוחצים על הקישור, תוכנות זדוניות נוספות מורדות אוטומטית למכשיר שלהם ואז מתרבות בתוך רשת הארגון.
למרות ההסרה המסיבית שלו בינואר 2021 הודות לרשויות אכיפת החוק והשיפוט הבינלאומיות (1), Emotet ממשיך לשגשג ולהפיץ תוכנות זדוניות בעזרת טריקים מתוחכמים יותר. אחת הטקטיקות משתמשת בקובץ קיצור דרך של Windows (.LNK) המכיל פקודות PowerShell כדי להוריד את מטען Emotet למכשיר הקורבנות, אותו ניתחנו בבלוג הקודם שלנו . מחבר האיום ביצע עיבוד זה בתגובה להגנת VBA שהשיקה מיקרוסופט.
באפריל 2022, זוהה קמפיין Emotet חדש בשטח, אשר ניצל לרעה קבצי .LNK מכווצים. בבלוג זה, אנו מנתחים וקטור זה ומדגים כיצד ניתן למנוע סוגים אלה של תוכנות זדוניות באמצעות OPSWAT MetaDefender .
שרשרת הדבקה של אמוט
מפעילי הבוטנט של Emotet מתחילים את ההתקפה עם דואר זבל המכיל קובץ zip זדוני המוגן בסיסמה עם קובץ קישור קיצור דרך (.LNK) מוטמע. הם מנצלים לרעה את קובץ קיצור הדרך מכיוון שקשה להבחין בינו לבין קובץ זה. הקובץ מוסווה כקובץ מסמך עם סמל והסיומת שלו אינה מוצגת כברירת מחדל ב-Windows.
מיד לאחר שהקורבנות מחלצים את קובץ ה-zip ומפעילים את קובץ ה-.LNK, הוא משליך סקריפט Microsoft VBScript (Visual Basic Script) מזיק לתיקייה הזמנית במכשיר שלהם.
ה-VBScript שנשמט מבצע ומוריד את מטען ה-Emotet משרת מרוחק. לאחר הורדת הקובץ הבינארי, הוא שומר את הקובץ לתיקייה הזמנית של Windows ומפעיל אותו באמצעות regsvr32.exe. לאחר ההדבקה, Emotet משכפל את עצמו כדי להתפשט למחשבים אחרים ברשת.
כיצד למנוע Emotet והתקפות מתקדמות דומות
ישנן המלצות והנחיות רבות מסוכנויות ממשלתיות ומומחי סייבר ברחבי העולם כדי לעזור למשתמשים לזהות ולהגן מפני קמפיינים מתוחכמים של אמוט (2), כגון:
• אין לפתוח קבצים מצורפים מפוקפקים בדוא"ל או ללחוץ על קישורים חשודים בגוף הדוא"ל.
• ודאו שהעובדים שלכם מאומנים כראוי כדי לזהות קישורים וקבצים מצורפים חשודים בדוא"ל
• שמרו על מערכת ההפעלה, היישומים ותוכנות האבטחה שלכם מעודכנים.
It is easy for you to comprehensively protect your organization from Emotet as well as other advanced evasive threats with OPSWAT Email Gateway Security and OPSWAT MetaDefender Core. Our market-leading Deep CDR™ Technology (Content Disarm and Reconstruction) disables both known and unknown threats concealed inside files. Per our zero-trust philosophy, we assume all files entering your network are malicious, so we scan, sanitize, and rebuild every file before it reaches your users. All active content concealed in files is neutralized or removed ensuring a threat-free environment for your organization.
איום האמוט הנוכחי מונע באופן הבא:
1. OPSWAT Email Gateway Security הסגר קבצים מצורפים המוגנים בסיסמה.
2. כדי להוריד את הקובץ המצורף, על הנמענים לספק את סיסמת הקובץ למערכת בהסגר.
3. MetaDefender Core סורק את הקובץ לאיתור תוכנות זדוניות ידועות באמצעות פתרון הסריקה הרב-תכליתית שלנו, Metascan . כפי שמוצג להלן, מנועי 11/16 זיהו בהצלחה את האיום.
4. MetaDefender Core extracts the attachment and recursively sanitizes every nested file using the Deep CDR™ Technology engine. The result below shows that an object was found and removed.
During the sanitization process, Deep CDR™ Technology replaced the malicious command of the .LNK file with dummy.txt to neutralize the threat.
5. Email Gateway Security משחרר את האימייל עם קובץ מצורף ללא איום למשתמשים. הנה תוצאת הסריקה של הקובץ לאחר הסריקה. לא זוהה איום.
6. כעת המשתמשים יכולים לפתוח את הקובץ המצורף במחשב שלהם וליצור את קובץ ה-LNK מבלי לדאוג לבעיות בטיחות. גם אם משתמשים יפתחו את קובץ ה-LNK, לא יורדו תוכנות זדוניות מכיוון שהפקודה הזדונית של קובץ ה-LNK מוחלפת.
Learn more about Deep CDR™ Technology or get in touch with us to discover the best security solutions to protect your corporate network and users from dangerous and complex cyberattacks.
הַפנָיָה
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
