Emotet er en af de trusler, som vi ser fra tid til anden. Hackere er konstant på udkig efter en måde at perfektionere deres angreb på, til at køre kampagner, der inficerer enheder. I dag gentager vi den nye strategi, dog med visse fejl, som vi vil kommentere. Den er primært afhængig af adgangskodebeskyttede arkiver, der formår at omgå e-mail sikkerhedsportaler.
Emotet bruger beskyttede filer til at omgå sikkerhed
Men cyberkriminelle har begået en fejl i denne kampagne. Årsagen er, at de er begyndt at bruge filer, der formodes at være oprettet med Windows 10 Mobile . De beder ofrene om at tillade makroer at kunne se disse dokumenter, da de angiveligt er oprettet med det operativsystem.
Sagen er, at Windows 10 Mobile nåede slutningen af sin brugstid tidligere på året. Den lille fejl af hackerne er imidlertid allerede løst, og det er, at de nu leverer de samme filer, men indikerer, at de blev oprettet med Android. Operationen er den samme: offeret skal aktivere makroerne og på denne måde aktiveres den ondsindede kode.
Med hensyn til hovedkarakteristikken ved dette angreb skal det nævnes, at det bruger Beskyttede filer for at omgå sikkerhedsforanstaltninger via e-mail. Vi ved allerede, at der kommer mange trusler gennem dette medium, og dette forbedrer også hindringerne for at undgå det. Imidlertid leder hackere altid efter nye strategier for at nå deres mål, som vi ser i tilfældet med Emotet.
I denne nye kampagne bruger de forskellige sprog, så de dækker et stort antal lande. De kan være invitationer til møder, ordrebekræftelser, rapporter ... Alle disse dokumenter ankommer komprimeret i en fil der er beskyttet af en adgangskode. I meddelelsen angiver de adgangskoden, de skal bruge.
Når offeret udpakker filen og indtaster adgangskoden, finder de det dokument, hvor de bliver bedt om at aktivere makroerne. Det er her, Emotet-nyttelasten downloades. Som angivet af sikkerhedsforskere er det normalt QakBot . Heldigvis kan vi kontrollere, om vi er inficeret af Emotet.
Kampagnen har været aktiv i flere uger
microsoft har registreret denne kampagne de seneste dage. Fra Cryptolaemus, en gruppe sikkerhedsforskere, angiver imidlertid, at det har arbejdet i flere uger. De har brugt denne strategi, som de kaldte Lynlås i lang tid .
Husk, at dette problem kan påvirke alle typer brugere . Som vi har set, er meddelelserne normalt forskellige, da de nogle gange kan indikere, at det er en invitation, noget relateret til en ordre, en rapport ...
Vores råd er altid at opretholde sund fornuft i disse tilfælde. Det er vigtigt ikke at åbne filer, vi modtager via e-mail, og som vi ikke kan stole på. Meget mindre bruges denne type dokumenter, der er beskyttet med adgangskode, og som vi ser grundlæggende til at undgå sikkerhedsforanstaltninger.
