Поделиться
Опасный троян внедряется в ПК под видом бланков налоговой отчетности
Ботнет Emotet угрожает налогоплательщикам в США. Он рассылается в виде поддельных форм финотчетности W-9 внутри вредоносных файлов Word и OneNote. Microsoft блокирует макросы по умолчанию, поэтому злоумышленники ищут новые способы доставки вредоносов.
Диверсификация угрозы
Операторы ботнета Emotet развернули фишинговую кампанию, нацеленную на налогоплательщиков в США. Вредоносная программа рассылается под видом официальных форм отчетности W-9, якобы присланных Службой внутренних доходов (аналог министерства налогов и сборов) или исходящих от компаний, с которыми сотрудничает потенциальная жертва.
Emotet в прошлом активно использовал документы Microsoft Word и Excel для распространения вредоносов. Однако с недавних пор Microsoft по умолчанию блокирует макросы в документах, скачиваемых из Сети. Это вынудило киберзлоумышленников искать новые способы атак.
Хотя и от зараженных файлов Word как средства доставки вредоносного ПО злоумышленники отказываться не спешат, в настоящее время они стали использовать файлы Microsoft OneNote со встроенными скриптами, посредством которых и осуществляется установка Emotet на компьютеры жертв.
После установки вредонос начинает использовать почтовые контакты для своего дальнейшего распространения, рассылки спама и, в конечном счете, установки других вредоносных программ, которые открывают доступ в систему другим злоумышленникам, в том числе операторам шифровальщиков-вымогателей.
Emotet активизируется в США в периоды крупных национальных праздников или мероприятий, таких как подача налоговой отчетности.
Как превратить 709 килобайт в 548 мегабайт
В ходе нынешней кампании, описанной экспертами Malware Bytes и Palo Alto Networks, от лица налоговых инспекторов рассылаются письма с заголовком IRS Tax Forms W-9, содержащие архив W-9 form.zip. Архив невелик — 709 килобайт. Однако при распаковке на диск записывается гигантский 548-мегабайтный файл .doc (стандартное расширение для старых версий Word), что уже само по себе крайне подозрительно.
Файл раздут до таких значений с единственной целью — избежать сканирования антивирусами. Как пишут авторы публикации в блоге Malware Bytes, это само по себе признак угрозы.
Кроме того, при открытии мнимой формы W-9 пользователю выводится сообщение о том, что документ «защищен», поэтому предварительный просмотр его невозможен, нужно разрешить редактирование и демонстрацию дополнительного контента. Естественно, этим дополнительным контентом оказывается Emotet.
Новый вариант атак обнаружили сотрудники Palo Alto Networks: им попалось вредоносное письмо, содержащее документ Microsoft OneNote со встроенными скриптами VBScript, которые и устанавливали в систему вредонос.
Документ OneNote тоже представляется «защищенным», и на экран пользователю выводится окошко с предложением дважды кликнуть на кнопку просмотра (View), чтобы «корректно отобразить» содержание. Кнопка View в реальности запускает скрипты.
Microsoft OneNote при этом выводит уже вполне реальное предупреждение о том, что файл может быть опасным. Но, к сожалению, пользователи нередко это предупреждение игнорируют.
После запуска скрипт скачивает DLL-файл Emotet и запускает его в фоновом режиме через regsvr32.exe.
После этого Emotet получает возможность красть почтовые сообщения, контакты и скачивать новые вредоносные компоненты с последующей их установкой на устройство.
«Попытки подсовывать под видом официальной документации вредоносные программы — очень распространённая практика, применяющаяся по всему миру, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SEQ. — Малейшие сомнения в происхождении документа, малейшие признаки того, что вложение является не тем, за что себя выдает, и уж тем более явные предупреждения средств безопасности Windows о том, что вложение вредоносно, — это повод немедленно удалить письмо, не открывая вложение ни в коем случае».
Эксперт добавляет, что рекомендуется проверять источник письма через другие каналы связи.
Поделиться
Короткая ссылка
