“Emotet” хортой программ хангамж үргэлжилж хортой имэйлүүдийг дэлхий даяар тарааж эхлэв.

“Emotet” бол цахим шуудангаар тархдаг хортой программ юм. Энэ нь Microsoft Word болон Excel-ийн хавсралтаар дамжин компьютерт халддаг. Хэрэглэгчид эдгээр баримт бичгүүдийг нээж, идэвхжүүлэх үед Emotet DLL нь санах ойд ачаалагдаж, дараа нь алсын C2 серверийн зааварчилгааг хүлээдэг.

Эцэст нь тус хортой програм нь ирээдүйн “Emotet” компанит ажилд ашиглах эсвэл “Cobalt Strike” болон бусад хортой программ зэрэг нэмэлт ачааллыг татаж авах зорилгоор хохирогчдын мэдээллийг хулгайлж эхэлдэг.

Хэдийгээр “Emotet” нь өнгөрсөн хугацаанд хамгийн түгээмэл хортой программуудын нэг гэж тооцогддог байсан ч аажмаар буурсан бөгөөд сүүлийн спам ажиллагаа нь 2022 оны 11 дүгээр сард ажиглагдсан байдаг.

Кибер аюулгүй байдлын компани “Cofense” болон “Cryptolaemus” групп “Emotet” ботнет дахин имэйл илгээх болсныг анхааруулав.

Одоогийн халдагчид татварын бүртгэл агуулсан имэйлийг ашиглаж байна. Имэйлд хавсаргасан ZIP архив нь 500 мегабайт ба түүнээс дээш хэмжээтэй байдаг. Эдгээр нь вирусны эсрэг шийдлүүдийг сканнердах ажлыг улам хүндрүүлэхийн тулд хэмжээг нь зохиомлоор нэмсэн Word программын хавтастай бичиг баримтууд юм. Баримт бичгүүд нь “Emotet”-ийн "Red Dawn" загварыг ашигладаг бөгөөд хэрэглэгчдэд файлын агуулгад хандах шаардлагатай гэж харуулдаг.

Эдгээр хортой баримт бичгүүд нь “Emotet” дуудагчийг хортой сайтуудаас DLL хэлбэрээр татаж авдаг бөгөөд ихэнх нь хакердсан WordPress блогууд байдаг.

Татаж авсны дараа “Emotet” нь regsvr32.exe файлын тусламжтай дурын нэртэй хавтасны %LocalAppData% хавтсанд хадгалагддаг. Нэгэнт ажиллуулсны дараа хортой програм нь компьютер дээр нэмэлт ачааллыг суулгаж командуудыг ажиллуулдаг. Эдгээр халдлага нь ихэвчлэн өгөгдөл хулгайлах байдаг хэдий ч бүрэн хэмжээний ransomware халдлагад хүргэх боломжтой.

Халдлагаас сэргийлэхийн тулд Microsoft Office файлууд болон эргэлзээтэй үл мэдэгдэх бусад баримт бичгүүдийг ажиллуулахгүй байх хэрэгтэй аж.

/Эх сурвалж: securitylab.ru/