Emotet är ett av de hot som vi ser då och då. Hackare letar ständigt efter ett sätt att förbättra sina attacker, att köra kampanjer som infekterar enheter. Idag upprepar vi den nya strategin, men med vissa fel som vi kommer att kommentera. Det är främst beroende av lösenordsskyddade arkiv som lyckas kringgå e-mail säkerhetsportar.
Emotet använder skyddade filer för att kringgå säkerheten
Men cyberbrottslingar har gjort ett misstag i den här kampanjen. Anledningen är att de har börjat använda filer som ska ha skapats med Windows 10 Mobile . De ber offren att tillåta makron att kunna se dessa dokument, eftersom de förmodligen skapats med det operativsystemet.
Saken är att Windows 10 Mobile nådde slutet på sin livslängd tidigare i år. Men den lilla buggen från hackarna har redan lösts, och det är att de nu levererar samma filer men indikerar att de skapades med Android. Operationen är densamma: offret måste aktivera makron och på detta sätt aktiveras den skadliga koden.
När det gäller det huvudsakliga kännetecknet för denna attack bör det nämnas att den använder skyddade filer för att kringgå säkerhetsåtgärder via e-post. Vi vet redan att många hot kommer genom detta medium och det gör också att hindren för att undvika det förbättras. Men hackare letar alltid efter nya strategier för att uppnå sina mål, som vi ser i fallet med Emotet.
I den här nya kampanjen använder de olika språk, så de täcker ett stort antal länder. De kan vara inbjudningar till möten, orderbekräftelser, rapporter ... Alla dessa dokument anländer komprimeras i en fil som skyddas av ett lösenord. I meddelandet anger de lösenordet de måste använda.
När offret extraherar filen och anger lösenordet hittar de dokumentet där de ombeds att aktivera makron. Det är då Emotet-nyttolasten laddas ner. Som indikerat av säkerhetsforskare är det vanligtvis QakBot . Lyckligtvis kan vi kontrollera om vi är smittade av Emotet.
Kampanjen har varit aktiv i flera veckor
Microsoft har upptäckt den här kampanjen de senaste dagarna. Men från Cryptolaemus, en grupp säkerhetsforskare, indikerar att den har arbetat i flera veckor. De har använt den här strategin som de kallade Zip Lock under lång tid .
Tänk på att detta problem kan påverka alla typer av användare . Som vi har sett är meddelandena vanligtvis annorlunda, eftersom de ibland kan indikera att det är en inbjudan, något relaterat till en order, en rapport ...
Vårt råd är alltid att upprätthålla sunt förnuft i dessa fall. Det är viktigt att inte öppna några filer som vi får via e-post och som vi inte kan lita på. Mycket mindre används denna typ av dokument som är skyddade med lösenord och som vi ser i princip för att undvika säkerhetsåtgärder.
