Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Операторы Emotet запустили кампанию в Microsoft Office (http://txgate.io:443/showthread.php?t=11246)

Artifact 04-07-2025 02:08 AM

Пользователь следует инструкциям злоумышленников для установки Emotet.
https://www.securitylab.ru/upload/ib...6qz4wsl953.jpg
Исследовательская группа Cryptolaemus, созданная для борьбы с вредоносным ПО Emotet, заявила , что операторы Emotet запустили вредоносную кампанию с использованием электронных писем.
Emotet — это вредоносное ПО, распространяемое посредством фишинговых кампаний, содержащих вредоносные документы Excel или Word. Когда пользователь открывает документ и активирует макросы, Emotet загружается в память.
После загрузки вредоносное ПО похищает электронные письма для использования в будущих кампаниях и сбрасывает дополнительные полезные нагрузки, такие как Cobalt Strike или другое вредоносное ПО, которое обычно приводит к атакам программ-вымогателей.
Обнаруженная кампания использует вложения, предназначенные для пользователей по всему миру, на разных языках и с разными именами файлов, выдающие себя за счета, сканы, электронные формы и другие приманки.
https://www.securitylab.ru/upload/im...t-img(680).png
Примеры названий вредоносных вложений
Кампания Emotet использует шаблон вложения Excel , который содержит инструкции по обходу защищенного просмотра Microsoft.
https://www.securitylab.ru/upload/im...t-img(681).png
Вредоносный документ Excel
Когда файл загружается из Интернета, Microsoft добавляет к файлу специальный флаг Mark-of-the-Web (MoTW). При открытии документ с флагом MoTW открывается в режиме защищенного просмотра, предотвращая выполнение макросов, устанавливающих вредоносное ПО.
Однако, во вложении Emotet операторы указали инструкции для пользователей – копировать файл в доверенные папки «Шаблоны». Это позволяет обойти защищенный просмотр Microsoft Office. При открытии документа из папки «Шаблоны» запускаются и макросы, которые загружают вредоносное ПО Emotet.
Emotet загружается в виде DLL в несколько папок со случайными именами в папке «%UserProfile%\AppData\Local». Затем макросы запускают DLL с помощью легитимной команды «regsvr32.exe».
https://www.securitylab.ru/upload/im...t-img(682).png
Emotet в случайной папке в %LocalAppData%
После загрузки вредоносное ПО работает в фоновом режиме и подключается к C&C-серверу для получения дальнейших инструкций или установки дополнительных полезных нагрузок.


All times are GMT. The time now is 04:07 AM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.