Emotet kötü amaçlı yazılımı artık Adobe PDF yazılımı gibi davranan kötü amaçlı Windows App Installer paketleri aracılığıyla dağıtılmaktadır.
Emotet, kimlik avı e-postaları ve kötü amaçlı ekler aracılığıyla yayılan kötü amaçlı yazılım enfeksiyonudur. Yüklendikten sonra, diğer spam kampanyaları için kurbanların e-postalarını çalacak ve genellikle fidye yazılımı saldırılarına yol açan TrickBot ve Qbot gibi kötü amaçlı yazılımları dağıtacaktır.
Emotet’in arkasındaki tehdit aktörleri, Windows 10 ve Windows 11’in App Installer adlı yerleşik bir özelliğini kullanarak kötü amaçlı paketler yükleyerek sistemlere bulaşıyor.
Araştırmacılar daha önce aynı yöntemin kullanıldığını gördüler. BazarLoader’ı dağıtmak için Microsoft Azure’da barındırılan kötü amaçlı paketleri yüklediği kötü amaçlı yazılım.
Windows Uygulama Yükleyicisi’ni kötüye kullanma
Emotet izleme grubu tarafından paylaşılan URL’leri ve e-posta örneklerini kullanma Cryptolaemus, BleepingComputer, yeni kimlik avı e-posta kampanyasının saldırı akışının altında gösterir.
Bu yeni Emotet kampanyası, mevcut bir konuşmaya yanıt olarak görünen çalıntı yanıt zinciri e-postalarıyla başlar.
Bu yanıtlar, alıcıya “Lütfen ekli görün” deyin ve e-posta konuşmasıyla ilgili iddia edilen bir PDF’ye bağlantı içerir.
Bağlantı tıklandığında, kullanıcı PDF belgesini önizlemek için bir düğmeye tıklamalarını isteyen sahte bir Google Drive sayfasına getirilecektir.
Bu ‘PDF’yi Önizle’ düğmesi, *.web.core.windows.net adresindeki URL’leri kullanarak Microsoft Azure’da barındırılan bir appinstaller dosyasını açmaya çalışan bir ms-appinstaller URL’sidir.
Örneğin, yukarıdaki bağlantı aşağıdaki örnek URL’de bir appinstaller paketi açar: ms-appinstaller:?source=https://xxx.z13.web.core.windows.net/abcdefghi.appinstaller.
Appinstaller dosyası, imzalı yayımcı ve yüklenecek appbundle URL’si hakkında bilgi içeren bir XML dosyasıdır.
Bir .appinstaller dosyasını açmaya çalışırken, devam etmek için Windows App Installer programını açmak isteyip istemediğinizi Windows tarayıcısı sorar.
Kabul ettikten sonra, ‘Adobe PDF Bileşeni’ni yüklemenizi isteyen bir Uygulama Yükleyici penceresi gösterilir.
Kötü amaçlı paket, meşru bir Adobe PDF simgesine, ‘Güvenilir Uygulama’ olarak işaretleyen geçerli bir sertifikaya ve sahte yayıncı bilgilerine sahip olduğu için meşru bir Adobe uygulaması gibi görünür. Windows’tan gelen bu tür doğrulama, birçok kullanıcının uygulamaya güvenip yüklemesi için fazlasıyla yeterlidir.
Bir kullanıcı ‘Yükle’ düğmesine tıkladığında, App Installer Microsoft Azure’da barındırılan kötü amaçlı appxbundle’ı indirip yükler. Bu appxbundle, %Temp% klasörüne bir DLL yükleyecek ve aşağıda gösterildiği gibi rundll32.exe ile yürütecektir.
Bu işlem, DLL’yi aşağıda gösterildiği gibi %LocalAppData% içinde rasgele adlandırılmış bir dosya ve klasör olarak da kopyalayacaktır.
Son olarak, altında bir otomatik çalıştırma oluşturulacaktır HKCUYazılımMicrosoftWindowsCurrentVersionRun kullanıcı Windows’ta oturum açtığında DLL’yi otomatik olarak başlatmak için.
Emotet, bir kolluk kuvvetleri operasyonu kapanana ve botnet’in altyapısını ele geçirene kadar geçmişte en çok dağıtılan kötü amaçlı yazılımdı. On ay sonra, Emotet TrickBot truva atının yardımıyla yeniden inşa etmeye başladığında yeniden dirildi.
Bir gün sonra, Emotet spam kampanyaları başladı, e-postaların kullanıcıların posta kutularına çeşitli yemler ve kötü amaçlı yazılım yükleyen kötü amaçlı belgelerle vurmasıyla.
Bu kampanyalar, Emotet’in varlığını hızla oluşturmasına ve bir kez daha TrickBot ve Qbot’u yükleyen büyük ölçekli kimlik avı kampanyaları gerçekleştirmesine izin verdi.
Emotet kampanyaları genellikle fidye yazılımı saldırılarına yol açar. Windows yöneticileri kötü amaçlı yazılım dağıtım yöntemlerini ve trai’yi en iyi şekilde görmelidirn Çalışanları Emotet kampanyalarını tespit etmek için.