کمیته رکن چهارم – گردانندگان بدافزار Emotet اکنون بهجای استفاده از فایلهای ماکرو Office که به طور پیشفرض غیرفعال شدهاند از فایلهای میانبر Windows (Windows Shortcut Files (.LNK)) که حاوی فرمانها PowerShell هستند برای آلوده کردن کامپیوترهای کاربران استفاده میکنند.
بدافزار Emotet بدافزاری است که اغلب از طریق ارسال هرزنامه (spam) که حاوی پیوستهای مخرب است، توزیع و منتشر میشود. هنگامی که کاربر پیوست هرزنامه را باز کند، ماکروها یا برنامههای مخرب اقدام به دریافت فایل Emotet DLL کرده و آن را در حافظه بارگذاری میکنند.
پس از بارگذاری در حافظه، بدافزار Emotet ایمیلها را برای سوءاستفاده در کارزارهای آینده خود جستوجو و سرقت میکند و کدهای مخرب دیگری همچون Cobalt Strike یا بدافزارهای دیگری که معمولاً منجر به حملات باجافزاری میشود بر روی سیستم قربانی قرار میدهد. ولی مهاجمان Emotet در کارزار اخیر خود، از ایمیلهایی استفاده کردهاند که فایل ZIP رمزدار به پیوست داشتند.
فایل یادشده حاوی فایلهای میانبر (Windows LNK Shortcut) است که در ظاهر شبیه یک فایل Word است.
پیوستهای مورداستفاده در این کارزار، اغلب دارای عناوین زیر هستند.
اکیداً توصیه میشود چنانچه ایمیلی با پیوستهای مشابه دریافت کردید، از باز کردن آنها خودداری کرده و دراسرعوقت با مسئولان بخش کامپیوتر سازمان خود تماس گرفته تا با بررسی پیوست مشخص شود آیا آنها مخرب هستند یا خیر.
استفاده از فایلهای .LNK روش جدیدی نیست، زیرا گردانندگان بدافزار Emotet قبلاً از آنها در ترکیب با برنامههای Visual Basic Script (VBS) بهمنظور ایجاد فرمانی برای دریافت کدهای مخرب استفاده کردهاند. بااینحال، این اولینبار است که آنها از میانبرهای Windows برای اجرای مستقیم دستورات PowerShell استفاده میکنند.
تغییر روش بعد از یک تلاش نافرجام
در روش بکار گرفته شده توسط گردانندگان بدافزار Emotet، هنگامی که کاربر روی فایل میانبر کلیک میکرد، فرمانی اجرا میشد تا یکرشته خاصی که حاوی کد VBS است را از فایل میانبر استخراج کند و آن را به یک فایل VBS اضافه کرده و آن فایل جدید VBS را اجرا کند.
بااینحال، ازآنجاییکه فایلهای میانبر توزیع شده دارای نامی متفاوت از نام ثابتی بود که به دنبال آن جستجو میشد، فایل VBS جدید بهدرستی ساخته نمیشد. ازاینرو گردانندگان بدافزار Emotet، پس از کشف اینکه این اشکال مانع از آلوده شدن کاربران میشود، بلافاصله کارزار خود را متوقف کردند.
مدتی بعد گردانندگان بدافزار Emotet ، اشکال یادشده را برطرف و بار دیگر شروع به ارسال هرزنامه به کاربران کردند. پس از رفع اشکال، این میانبرها اکنون در هنگام اجرای دستور از نام صحیح فایلها استفاده میکنند و فایلهای VBS بهدرستی ایجاد شده و بدافزار Emotet دریافت و بر روی دستگاه قربانیان نصب میشود.
محققان امنیتی با بررسی بیشتر این بدافزار متوجه شدند که Emotet به ترفند جدیدی روی آورده است. در این روش مهاجمان از دستورات PowerShell که به فایل LNK متصل است برای دریافت و اجرای یک برنامه بر روی کامپیوتر آلوده استفاده میکنند. رشته مخرب اضافه شده به فایل .LNK مبهمسازی شده است و با مقدار تهی (Blank Space) پر شده تا در گزینه Properties فایلی که میانبر به آن اشاره میکند، نمایش داده نشود.
فایل میانبر مخرب در بدافزار Emotet شامل نشانی چندین سایت آلوده است که برای ذخیره برنامه مخرب PowerShell استفاده میشود. اگر برنامه در یکی از نشانیهای تعریف شده وجود داشته باشد، بهعنوان یک برنامه PowerShell دریافت شده و با یک نام تصادفی در پوشه موقت سیستم قرار میگیرد. در تصویر زیر، نسخه مبهمسازی نشده از رشته مخرب که به فایل میانبر متصل شده، نمایشدادهشده است.
این برنامه، برنامه PowerShell دیگری را تولید و راهاندازی میکند که بدافزار Emotet را از فهرستی از سایتهای آلوده دریافت کرده و در پوشه % %Temp ذخیره میکند. سپس فایل DLL دریافت شده با استفاده از دستور regsvr۳۲.exe اجرا میشود. اجرای برنامه PowerShell با استفاده از ابزار خط فرمان Regsvr۳۲.exe صورتگرفته و با دریافت و فعالسازی بدافزار Emotet به پایان میرسد.
محققان امنیتی معتقدند که بهکارگیری PowerShell در فایلهای میانبر LNK، برای استقرار بدافزار Emotet، روش کاملاً جدیدی است. آنها بر این باورند که این روش جدید تلاشی آشکار برای دورزدن راهکارهای دفاعی و شناسایی خودکار است. محققان امنیتی در شرکت ضدویروس ایسِت(ESET, LLC.) همچنین عنوان کردند که استفاده از روش جدید بدافزار Emotet در کشورهای مکزیک، ایتالیا، ژاپن، ترکیه و کانادا بکار گرفته شده و در حال افزایش است.
بهغیراز بهکارگیری PowerShell در فایلهای LNK، گردانندگان بدافزار Emotet تغییرات دیگری مانند انتقال به ماژولهای ۶۴ بیتی را نیز انجام دادهاند. این بدافزار معمولاً بهعنوان دروازهای برای سایر بدافزارها، بهویژه تهدیدات باجافزاری همچون Conti استفاده میشود.
منبع : مرکز مدیریت راهبردی افتا
