Zusammenfassung
Im April 2022 analysierten die Netskope Threat Labs eine Emotet-Kampagne, die LNK-Dateien anstelle von Microsoft Office-Dokumenten verwendete , wahrscheinlich als Reaktion auf die von Microsoft im Jahr 2022 eingeführten Schutzmaßnahmen zur Abwehr von Angriffen über Excel 4.0 (XLM) und VBA-Makros.
Kürzlich stießen wir jedoch auf Hunderte bösartiger Office-Dokumente, die zum Herunterladen und Ausführen von Emotet verwendet wurden. Dies deutet darauf hin, dass einige Angreifer noch immer alte Übermittlungsmethoden verwenden. Trotz des von Microsoft im Jahr 2022 veröffentlichten Schutzes zur Verhinderung der Ausführung von Excel 4.0 (XLM)-Makros ist dieser Angriff gegen Benutzer, die veraltete Office-Versionen verwenden, immer noch möglich. Dies ist auch gegen Benutzer möglich, die die Standardeinstellung geändert haben, um Makros explizit zu aktivieren. Die Tatsache, dass Angreifer immer noch Excel 4.0-Makros verwenden, deutet darauf hin, dass es sich immer noch häufig um veraltete Office-Versionen und Benutzer handelt, bei denen dieser Schutz deaktiviert ist.
Bei der Suche nach ähnlichen Dateien auf VirusTotal haben wir zwischen dem 9. und 21. Juni 2022 776 bösartige Tabellen gefunden, die Excel 4.0 (XLM)-Makros missbrauchen, um die Nutzlast von Emotet herunterzuladen und auszuführen. Die meisten Dateien haben dieselben URLs und einige Metadaten. Wir haben 18 URLs aus den 776 Beispielen extrahiert , von denen vier online waren und Emotet lieferten.
In diesem Blogbeitrag analysieren wir diese Emotet-Kampagne und zeigen den Übermittlungsmechanismus bis zur letzten Nutzlast.
Stufe 01 – Schädliche Tabellenkalkulationen
Die erste Phase ist eine bösartige Tabelle, die Excel 4.0 (XLM)-Makros missbraucht, um Emotet herunterzuladen und auszuführen. Diese Dateien werden als E-Mail-Anhänge zugestellt.
Es gibt auch Fälle, in denen die Tabelle an eine kennwortgeschützte ZIP-Datei angehängt ist.
Die Tabelle enthält eine Meldung, die den Benutzer dazu verleiten soll, die geschützte Ansicht durch Klicken auf die Schaltfläche „Bearbeitung aktivieren“ zu entfernen.
Der Schadcode wird verschleiert und über versteckte Tabellen und Zellen verbreitet.
Der Code lädt die Nutzlast von einer externen URL über die API „ URLDownloadToFileA“ herunter und führt sie mit „ regsvr32.exe“ aus. Dies ist ein häufig verwendeter Binärwert für die Living-off-the-Land- Technik.
Darüber hinaus wurden die meisten der von uns analysierten Dateien von „ Dream“ erstellt und zuletzt entweder von „ RHRSDJTJDGHT“ oder „ TYHRETH“ gespeichert, was darauf hindeutet, dass die Dateien wahrscheinlich denselben Autor haben.
Stufe 02 – Verpacktes Emotet
Wir konnten Beispiele von vier der 18 verschiedenen URLs herunterladen, die aus den Tabellen extrahiert wurden. Zwei der heruntergeladenen Dateien entpackten dieselbe Emotet-Nutzlast.