کمپین فیشینگ Emotet که به صورت فرم مالیاتی W-9 تغییر شکل داده است

از

به طور خلاصه: بات‌نت بدنام Emotet بار دیگر تاکتیک‌های ابداعی را برای انتقال عفونت و تبدیل رایانه‌های شخصی کاربران به زامبی‌هایی که بدافزار منتشر می‌کنند، امتحان می‌کند. یک کمپین فیشینگ جدید با فصل مالیاتی آتی در ایالات متحده همپوشانی دارد زیرا تلاش می کند کاربران را برای باز کردن یک سند جعلی برای نصب بدافزار فریب دهد.

W-9 و سایر پیوست‌های فرم مالیاتی معمولاً در قالب PDF ارائه می‌شوند، بنابراین کاربران باید از باز کردن Word، OneNote یا سایر انواع سند خودداری کنند، در صورتی که 100 درصد از قانونی بودن پیام مطمئن نیستند.



منبع

Emotet یکی از گسترده‌ترین عفونت‌ها در سال‌های اخیر است – یک عملیات بات‌نت خطرناک که برای سرقت اطلاعات کاربران و همزمان پخش برنامه‌های مخرب شخص ثالث طراحی شده است. این بدافزار معمولاً سعی می‌کند از طریق یک کمپین فیشینگ به‌دقت سازمان‌دهی‌شده، رایانه شخصی قربانی را به خطر بیاندازد، و ایمیل‌های ظاهراً قانونی را با پیوست‌های مخرب که به عنوان اسناد آفیس پنهان شده‌اند، ارائه می‌دهد.

مایکروسافت اکنون ماکروها را به‌طور پیش‌فرض مسدود می‌کند، زیرا این فناوری مورد سوء استفاده گسترده هم از Emotet و هم سایر کمپین‌های مخربی که رایانه‌های شخصی ویندوز را هدف قرار می‌دهند، شناخته شده است.

به گفته محققان واحد 42 اینتل، Emotet در تلاش است تا با ارسال پیوست‌های OneNote، مکانیسم مسدودسازی پیش‌فرض ماکرو ورد را دور بزند – که می‌تواند حتی غافل‌ترین کاربر را نیز منع کند. پس از باز شدن، سند می گوید که “محافظت شده” است و کاربر باید برای باز کردن آن روی دکمه “View” دوبار کلیک کند.

بخونید:  گوگل در حال ساخت یک مرورگر iOS مبتنی بر Blink بر خلاف قوانین اپل است

دکمه View فقط یک نما است، زیرا برای اجرای یک اسکریپت ویژوال بیسیک که در داخل آن تعبیه شده است، دوبار کلیک کنید. پس از اجرا، اسکریپت بارگیری DLL Emotet را با ابزار سیستمی قانونی regsvr32.exe دانلود و نصب می کند. OneNote هشداری در مورد ماهیت بالقوه مخرب اسکریپت VB نشان می دهد. نیازی به گفتن نیست، بسیاری از کاربران غافل با خوشحالی از توجه به هشدار مذکور اجتناب می کنند و به هر حال اسکریپت را راه اندازی می کنند.

از آنجایی که هیچ سند Word قانونی نمی تواند به این اندازه برسد، پیوست به وضوح جعلی است. علاوه بر این، ماهیت مخرب سند زمانی که کاربر سعی می‌کند آن را باز کند کاملاً آشکار می‌شود اما Word می‌گوید که اجرای ماکروها را در سیستم مسدود کرده است.

پس از اجرا، کتابخانه مخرب Emotet طوری طراحی شده است که بی سر و صدا در پس زمینه اجرا شود و آدرس های ایمیل، مخاطبین و سایر داده های مفید را سرقت کند. سپس بدافزار منتظر دستورات بیشتر از مرکز فرماندهی و کنترل می‌ماند، که در مورد Emotet معمولاً به معنای دانلود و اجرای نمونه‌های بدافزار اضافی یا شخص ثالث است.

آخرین کمپین فیشینگ بر پخش پیوست های جعلی فرم W-9 متمرکز است، درست در زمانی که باید اظهارنامه مالیات بر درآمد به IRS ارائه شود. ایمیل مخرب ظاهراً توسط IRS و شرکت‌های خصوصی ارسال می‌شود، در حالی که فایل Zip پیوست شده حاوی یک سند Word با حجم بیش از 500 مگابایت است.