Emotet là một trong những mối đe dọa mà chúng tôi nhìn thấy theo thời gian. Tin tặc không ngừng tìm cách hoàn thiện các cuộc tấn công của mình, để thực hiện các chiến dịch lây nhiễm các thiết bị. Hôm nay chúng tôi nhắc lại chiến lược mới, mặc dù có một số lỗi mà chúng tôi sẽ bình luận. Nó chủ yếu dựa vào các kho lưu trữ được bảo vệ bằng mật khẩu quản lý để vượt qua e-mail cổng an ninh.
Emotet sử dụng các tệp được bảo vệ để vượt qua bảo mật
Nhưng tội phạm mạng đã mắc sai lầm trong chiến dịch này. Lý do là họ đã bắt đầu sử dụng các tệp được cho là đã được tạo bằng Windows Điện thoại di động 10 . Họ yêu cầu nạn nhân cho phép các macro có thể xem các tài liệu đó, vì chúng được cho là được tạo bằng hệ điều hành đó.
Vấn đề là, Windows 10 Mobile đã hết thời hạn sử dụng vào đầu năm nay. Tuy nhiên, lỗi nhỏ đó của tin tặc đã được giải quyết và bây giờ họ cung cấp các tệp tương tự nhưng chỉ ra rằng chúng được tạo bằng Android. Hoạt động giống nhau: nạn nhân phải bật các macro và theo cách này, mã độc được kích hoạt.
Về đặc điểm chính của cuộc tấn công này, cần nói rằng nó sử dụng file được bảo vệ để vượt qua các biện pháp bảo mật email. Chúng ta đã biết rằng nhiều mối đe dọa đến qua phương tiện này và điều này cũng làm cho các rào cản để tránh nó được cải thiện. Tuy nhiên, các hacker luôn tìm kiếm các chiến lược mới để đạt được mục tiêu của mình, như chúng ta thấy trong trường hợp của Emotet.
Trong chiến dịch mới này, họ sử dụng các ngôn ngữ khác nhau, do đó, họ bao phủ một số lượng lớn các quốc gia. Chúng có thể là lời mời tham gia cuộc họp, xác nhận đơn đặt hàng, báo cáo… Tất cả những tài liệu này đều đến nén trong một tệp được bảo vệ bằng mật khẩu. Trong tin nhắn, họ chỉ ra mật khẩu mà họ phải sử dụng.
Khi nạn nhân trích xuất tệp đó và nhập mật khẩu, họ sẽ tìm thấy tài liệu đó nơi họ được yêu cầu bật macro. Đó là khi tải trọng Emotet được tải xuống. Theo chỉ định của các nhà nghiên cứu bảo mật, nó thường QakBot . May mắn thay, chúng tôi có thể kiểm tra xem chúng tôi có bị nhiễm Emotet hay không.
Chiến dịch đã hoạt động trong nhiều tuần
microsoft đã phát hiện chiến dịch này trong những ngày gần đây. Tuy nhiên, từ Cryptolaemus, một nhóm các nhà nghiên cứu bảo mật, chỉ ra rằng nó đã hoạt động được vài tuần. Họ đã sử dụng chiến lược mà họ gọi là Khóa Zip trong một thời gian dài .
Hãy nhớ rằng sự cố này có thể ảnh hưởng đến tất cả các loại người dùng . Như chúng ta đã thấy, các thông báo thường khác nhau, vì đôi khi chúng có thể chỉ ra rằng đó là một lời mời, một cái gì đó liên quan đến một đơn đặt hàng, một báo cáo…
Lời khuyên của chúng tôi là luôn duy trì ý thức chung trong những trường hợp này. Điều quan trọng là không mở bất kỳ tệp nào chúng tôi nhận được qua email và chúng tôi không thể tin tưởng. Loại tài liệu được bảo vệ bằng mật khẩu này ít hơn nhiều và như chúng ta thấy, về cơ bản được sử dụng để tránh các biện pháp bảo mật.
