Операторите на ботнета Emotet предприеха фишинг кампания, насочена към американските данъкоплатци. Зловредният софтуер се разпространява под прикритието на официални формуляри за отчитане W-9, за които се твърди, че са изпратени от Службата за вътрешни приходи или идват от компании, с които потенциалната жертва си сътрудничи.
В миналото Emotet използва документи на Microsoft Word и Excel за разпространение на зловреден софтуер. Наскоро обаче Microsoft блокира макроси по подразбиране в документи, изтеглени от мрежата. Това принуди кибер-нападателите да търсят нови методи за атака.
Въпреки че нападателите не бързат да изоставят заразените файлове на Word като средство за доставяне на зловреден софтуер, те вече са започнали да използват файлове на Microsoft OneNote с вградени скриптове, чрез които Emotet се инсталира на компютрите на жертвите.
Веднъж инсталиран, злонамереният софтуер започва да използва имейл контакти за по-нататъшното си разпространение, като изпраща спам и в крайна сметка инсталира други злонамерени програми, които отварят достъп до системата за други нападатели, включително оператори на рансъмуер.
Emotet се активира в САЩ около големи национални празници или в периодите, когато се подават данъчни декларации. По време на настоящата кампания, описана от експерти от Malware Bytes и Palo Alto Networks, писма със заглавие IRS Tax Forms W-9, съдържащи архива W-9 form.zip, се изпращат от името на данъчни инспектори. Архивът е малък – 709 килобайта.
При разопаковането обаче на диска се записва гигантски .doc файл от 548 MB, което само по себе си е изключително подозрително. Файлът е раздут до такива стойности с единствената цел да се избегне антивирусно сканиране. Както отбелязват специалистите в блога на Malware Bytes, това само по себе си е знак за заплаха.
Освен това, когато отваря въображаемия формуляр W-9, потребителят получава подкана, че документът е „защитен”, така че не може да бъде визуализиран, редактирането и показването на допълнително съдържание трябва да бъдат разрешени. Естествено, това допълнително съдържание се оказва Emotet.
Междувременно, служители на Palo Alto Networks засякоха нов вариант на атака: те се натъкнаха на злонамерен имейл, съдържащ документ на Microsoft OneNote с вградени VBScript скриптове, които инсталират зловреден софтуер в системата.
Документът на OneNote също се представя като „сигурен” и потребителят е подканен да щракне два пъти върху бутона „View”, за да „покаже правилно” съдържанието. Бутонът View всъщност изпълнява скриптове.
Microsoft OneNote в същото време показва много реално предупреждение, че файлът може да е опасен. Но, за съжаление, потребителите често пренебрегват това предупреждение.
Веднъж стартиран, скриптът изтегля Emotet DLL и го изпълнява във фонов режим чрез regsvr32.exe. След това Emotet получава възможност да краде имейл съобщения и контакти, както и да изтегля нови злонамерени компоненти с последващото им инсталиране на устройството.