תַקצִיר
Emotet נחשבת לנוזקה הנפוצה ביותר, ההרסנית והיקרה ביותר לתיקון כיום (1). היא מתפשטת בעיקר באמצעות הודעות דוא"ל פישינג המכילות קישור זדוני או מסמך נגוע. לאחר שהקורבנות מורידים את הקובץ או לוחצים על הקישור, תוכנות זדוניות נוספות מורדות אוטומטית למכשיר שלהם ואז מתרבות בתוך רשת הארגון.
למרות ההסרה המסיבית שלו בינואר 2021 הודות לרשויות אכיפת החוק והשיפוט הבינלאומיות (1), Emotet ממשיך לשגשג ולהפיץ תוכנות זדוניות בעזרת טריקים מתוחכמים יותר. אחת הטקטיקות משתמשת בקובץ קיצור דרך של Windows (.LNK) המכיל פקודות PowerShell כדי להוריד את מטען Emotet למכשיר הקורבנות, אותו ניתחנו בבלוג הקודם שלנו . מחבר האיום ביצע עיבוד זה בתגובה להגנת VBA שהשיקה מיקרוסופט.
באפריל 2022, זוהה קמפיין Emotet חדש בשטח, אשר ניצל לרעה קבצי .LNK מכווצים. בבלוג זה, אנו מנתחים וקטור זה ומדגים כיצד ניתן למנוע סוגים אלה של תוכנות זדוניות באמצעות OPSWAT MetaDefender .
שרשרת הדבקה של אמוט
מפעילי הבוטנט של Emotet מתחילים את ההתקפה עם דואר זבל המכיל קובץ zip זדוני המוגן בסיסמה עם קובץ קישור קיצור דרך (.LNK) מוטמע. הם מנצלים לרעה את קובץ קיצור הדרך מכיוון שקשה להבחין בינו לבין קובץ זה. הקובץ מוסווה כקובץ מסמך עם סמל והסיומת שלו אינה מוצגת כברירת מחדל ב-Windows.
מיד לאחר שהקורבנות מחלצים את קובץ ה-zip ומפעילים את קובץ ה-.LNK, הוא משליך סקריפט Microsoft VBScript (Visual Basic Script) מזיק לתיקייה הזמנית במכשיר שלהם.
ה-VBScript שנשמט מבצע ומוריד את מטען ה-Emotet משרת מרוחק. לאחר הורדת הקובץ הבינארי, הוא שומר את הקובץ לתיקייה הזמנית של Windows ומפעיל אותו באמצעות regsvr32.exe. לאחר ההדבקה, Emotet משכפל את עצמו כדי להתפשט למחשבים אחרים ברשת.
כיצד למנוע Emotet והתקפות מתקדמות דומות
ישנן המלצות והנחיות רבות מסוכנויות ממשלתיות ומומחי סייבר ברחבי העולם כדי לעזור למשתמשים לזהות ולהגן מפני קמפיינים מתוחכמים של אמוט (2), כגון:
• אין לפתוח קבצים מצורפים מפוקפקים בדוא"ל או ללחוץ על קישורים חשודים בגוף הדוא"ל.
• ודאו שהעובדים שלכם מאומנים כראוי כדי לזהות קישורים וקבצים מצורפים חשודים בדוא"ל
• שמרו על מערכת ההפעלה, היישומים ותוכנות האבטחה שלכם מעודכנים.
תוכלו להגן על הארגון שלכם באופן מקיף מפני Emotet ומפני איומים מתוחכמים אחרים באמצעות OPSWAT Email Gateway Security ו- OPSWAT MetaDefender Core. טכנולוגיית Deep CDR™ (Content Disarm and Reconstruction) המובילה בשוק שלנו מנטרלת איומים ידועים ובלתי ידועים המסתתרים בתוך קבצים. בהתאם לפילוסופיה של "אמון אפס" שלנו, אנו מניחים שכל הקבצים הנכנסים לרשת שלכם הם זדוניים, ולכן אנו סורקים, מנקים ומבנים מחדש כל קובץ לפני שהוא מגיע למשתמשים שלכם. כל התוכן הפעיל המסתתר בקבצים מנוטרל או מוסר, מה שמבטיח סביבה נקייה מאיומים עבור הארגון שלכם.
איום האמוט הנוכחי מונע באופן הבא:
1. OPSWAT Email Gateway Security הסגר קבצים מצורפים המוגנים בסיסמה.
2. כדי להוריד את הקובץ המצורף, על הנמענים לספק את סיסמת הקובץ למערכת בהסגר.
3. MetaDefender Core סורק את הקובץ לאיתור תוכנות זדוניות ידועות באמצעות פתרון הסריקה הרב-תכליתית שלנו, Metascan . כפי שמוצג להלן, מנועי 11/16 זיהו בהצלחה את האיום.
4. MetaDefender Core את הקובץ המצורף ומנקה באופן רקורסיבי כל קובץ מקונן באמצעות מנוע הטכנולוגיה Deep CDR™. התוצאה המוצגת להלן מראה כי אובייקט אותר והוסר.
במהלך תהליך החיטוי, טכנולוגיית Deep CDR™ החליפה את הפקודה הזדונית בקובץ ה-.LNK בקובץ dummy.txt כדי לנטרל את האיום.
5. Email Gateway Security משחרר את האימייל עם קובץ מצורף ללא איום למשתמשים. הנה תוצאת הסריקה של הקובץ לאחר הסריקה. לא זוהה איום.
6. כעת המשתמשים יכולים לפתוח את הקובץ המצורף במחשב שלהם וליצור את קובץ ה-LNK מבלי לדאוג לבעיות בטיחות. גם אם משתמשים יפתחו את קובץ ה-LNK, לא יורדו תוכנות זדוניות מכיוון שהפקודה הזדונית של קובץ ה-LNK מוחלפת.
קראו עוד על טכנולוגיית Deep CDR™ או צרו איתנו קשר כדי לגלות את פתרונות האבטחה הטובים ביותר להגנה על הרשת הארגונית והמשתמשים שלכם מפני מתקפות סייבר מסוכנות ומורכבות.
הַפנָיָה
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
