بنا بر اظهارات محققان امنیتی، بدافزار Emotet بعد از چند ماه توقف فعالیت، مجدداً حملات خود را از سر گرفته است.
تروجان Emotet که با نامهای Geodo و Heodo نیز شناخته میشود یکی از فعالترین بدافزارهای یکدهه گذشته بوده است.
در تابستان 1393 نخستین نسخه Emotet، در قالب یک تروجان بانکی، مشتریان برخی مؤسسات مالی را در آلمان و اتریش هدف قرار داد. خیلی زود، تکاملهای مستمر آن، Emotet را در کانون توجه شرکتهای ضدویروس و نهادهای امنیت فناوری اطلاعات قرار داد.
نسخههای بعدی Emotet قادر به انتشار هرزنامهها (Spam) و سرویسهای بدافزاری میباشند که گونههای دیگر بدافزار نظیر تروجانهای بانکی و باجافزار را نیز دانلود میکنند.
یکی از اصلیترین قابلیتهای نسخههای جدید Emotet، نصب گونههای دیگر بدافزاری یا باجافزاری بر روی دستگاه آلوده است. به همین خاطر گردانندگان Emotet دستگاههای تحت تسخیر این تروجان را در قالب خدمات موسوم به Malware-as-a-Service یا Cybercrime-as-a-Service به دیگر مهاجمان اجاره میدهند. در حقیقت، Emotet در نقش یک واسط یا مرد میانی راه را برای ورود بدافزارهای دیگر به دستگاه باز میکند.
تروجانهای TrickBot و Qbot و باجافزار Conti از جمله بدافزارهایی هستند که Emotet در نفوذ گردانندگان آنها به برخی سیستمها و شبکهها دخیل بوده است.
این بدافزار اغلب از طریق ایمیلهای هرزنامه حاوی پیوست یا لینک مخرب به سیستم قربانی نفوذ میکند. هنگامی که کاربر اقدام به باز نمودن پیوست یا پیوند مینماید، Emotet در دستگاه قربانی در پس زمینه دانلود میشود. در کارزارهای مرتبط با بدافزار Emotet، مهاجمان جهت فریب کاربران از ترفندهای مختلف مهندسی اجتماعی برای متقاعد کردن قربانیان به باز کردن اسناد مخرب و فعالسازی ماکرو استفاده میکنند.
از طرفی دیگر Emotet، تروجانی «چندریخت» (Polymorphic) است که امضای هر نمونه آن با نمونه دیگر متفاوت است. در نتیجه مقابله ضدویروسها به خصوص آنهایی که وابسته به امضاء هستند با آن بسیار دشوار است. ضمن آن که بدافزار نصب شده بر روی دستگاه، در هر زمان قادر به ارتقاء و بهروزرسانی خود از طریق سرور فرماندهی و کنترل است.
از دیگر ویژگیهای ضدتحلیل Emotet، توانایی آن در تشخیص Sandbox یا ماشین مجازی بودن سامانهای که بر روی آن اجرا شده، میباشد. محققان و تحلیلگران ویروس از این بسترها برای کالبدشکافی فایلهای مخرب بهره میگیرند.
و در نهایت این که برای دشوار کردن تحلیل و شناسایی توسط محصولات ضدویروس و مهندسان ویروس، کدهای Batch و PowerShell آن بهشدت «مبهمسازی» (Obfuscation) شدهاند.
اگرچه شرکت Check Point، بدافزار Emotet را پرانتشارترین بدافزار سالهای اخیر معرفی کرده، اما گردانندگان این بدافزار در تیر 1401 به طور ناگهانی حملات و ارسال هرزنامه را متوقف نمودند. یکی از محققان امنیتی Cryptolaemus در 11 آبان 1401 در توییتی اعلام کردند که بدافزار Emotet مجدد بازگشته است و شروع به ارسال هرزنامه کرده است.
محققان Cyble Research and Intelligence Labs در کارزارهای اخیر مرتبط با این بدافزار مشاهده کردند که گردانندگان این بدافزار، فایلهای zip که با رمز عبور محافظت شدهاند و یا فایلهایی از نوع xls و xlsm را از طریق پیوست ایمیلها جهت آلوده کردن سیستم قربانیان منتشر میکنند.
بنا بر گزارش محققان و با بررسی اطلاعات منتشر شده، کارزار اخیر Emotet در سراسر جهان گسترده است و تاکنون 40 کشور را مورد هدف قرار داده است.
جزییات فنی
همانطور که در تصویر زیر نشان داده شده است، Emotet از طریق ایمیل حاوی هرزنامه که فایلی از نوع xls/xlsm و یا فایل zip که با رمز عبور محافظت شدهاند، منتقل میشود. این اسناد حاوی کد ماکرو میباشند که کد مخرب Emotet را از سرور راه دور دانلود میکنند.
هنگامی که کاربر فایل را در Office باز میکند، نرمافزار آن را در حالت حافظت شده (Protected View) نمایش میدهد تا از اجرای ماکروها جلوگیری شود. از این رو، مهاجمان بدافزار Emotet با بکارگیری تکنیکهای مهندسی اجتماعی مختلفی کاربران را برای فعال کردن محتوای اسناد پیوست شده ترغیب میکنند.
همچنین کارزار اخیر، Template جدیدی را بکار گرفته که در آن کد مخرب Emotet حاوی دستورالعملهایی برای دور زدن حالت حافظت شده Microsoft Office است. در این Template، فایل xls در پوشههای مورد اعتماد تحت عنوان Templates کپی شده و دوباره جهت مشاهده محتوای سند اجرا میشود. این ترفند قابلیت حالت حافظت شده Microsoft Office را دور میزند و کد ماکرو مخرب مخفی را در سندی که بدافزار Emotet را دانلود میکند، اجرا مینماید. در تصویر زیر Template مورد استفاده توسط Emotet نشان داده شده است:
در حین اجرا، فایل xls کد ماکرو را فعالسازی نموده و فایلهای Dynamic Link Library – به اختصار DLL – بدافزار Emotet را از نشانیهای اینترنتی زیر دانلود و از طریق regsvr32.exe آنها را اجرا میکند:
- hxxps://designelis.com[.]br/wp-content/NNfbZZegI/
- hxxp://copayucatan.com[.]mx/wp-includes/BqaJMpC3osZ0LRnKK/
- hxxp://cursosweb.com[.]br/portal/6ozjR/
- hxxp://db.rikaz[.]tech/lCx76IlkrBtEsqNFA7/
تصویر زیر Process Tree مربوط به فایلهای DLL دانلود شده از طریق یک سند مخرب xls را نشان میدهد.
سپس بدافزار Emotet بدون جلب توجه کاربر در پس زمینه اجرا میشود و برای اعمال دستورالعملهای بیشتر یا نصب کدهای مخرب دیگر به سرور C&C متصل میشود. در طول تحلیل نمونههای اخیر Emotet، محققان مشاهده کردند که IcedID نیز از جمله بدافزارهای دیگری است که در این پروسه دانلود میشود.
IcedID
IcedID (که با نام BokBot نیز شناخته میشود) یک تروجان بانکی پیمانهای است که مهاجمان با بکارگیری آن قادرند اطلاعات حساب بانکی را از سیستم قربانی سرقت نمایند؛ همچنین IcedID میتواند به عنوان یک Dropper برای سایر بدافزارها و گونههای مختلف باجافزار عمل کند.
پس از اجرای Emotet، فایل نصب IcedID در نشانی زیر قرار میگیرد:
- C:\Users\[username]\AppData\Local\ClzhGUmETtiWkpu\ICXbDzlkuFEVWX.dll
سپس، نصبکننده یک فایل Binary را از نشانی hxxps[:]//bayernbadabum[.]com/botpack[.]dat دانلود میکند و فایل DLL تروجان IcedID را در نشانیهای زیر بارگذاری میکند:
- C:\Users\[username]\AppData\Roaming\{E32EC873-DB7B-380C-E7AC-7CA404E8C9FF}\Azki\ifocnf.dll
- C:\Users\[username]\AppData\Roaming\Loejes\Urjoe\eqamup1.dll
شکل زیر IcedID را که توسط Emotet در سیستم قربانی دانلود شده، نشان میدهد.
ماندگاری
پس از نصب IcedID در سیستم قربانی، همانند شکل زیر، فایلهای DLL به ورودی Task Scheduler اضافه میشوند.
Bumblebee
در کارزاری در 17 آبان 1401، مشاهده شد که Emotet، بدافزار Bumblebee را دانلود کرده است. در این کارزار، بدافزار Emotet یک اسکریپت PowerShell به نام Peurix.txt را از نشانی hxxp[:]//87[.]251[.]67[.]176/tps1[.]ps1 در پوشه Temp دانلود میکند.
اسکریپت PowerShell دانلود شده حاوی کدی است که فایل DLL بدافزار Bumblebee را از نشانی (hxxp[:]//134[.]209[.]118[.]141/bb[.]dll دانلود و در مسیر زیر کپی میکند و در ادامه با بکارگیری rundll32.exe فایل مذکور را اجرا میکند.
C:\Windows\Tasks\bb.dll
جمعبندی
Emotet یکی از پیچیدهترین و سودآورترین گونههای بدافزاری است؛ تروجانی ماندگار و دائماً در حال تغییر که در هشت سال گذشته به طور فعال کاربران را در سراسر جهان مورد هدف قرار داده است. Emotet نفوذ اولیه را از طریق ایمیلهای هرزنامهای حاوی پیوستهای مخرب که مسئول بارگذاری Emotet و کدهای مخرب دیگری نظیر IcedID ،Bumblebee و غیره هست را دانلود میکند.
از آنجایی که Emotet پس از توقف فعالیت چند ماهه، مجدد حملات خود را از سر گرفته است، انتظار میرود که مهاجمان این کارزار بدافزاری را با بکارگیری تاکتیکها، تکنیکها و رویههای (Tactics, Techniques, an Procedures – به اختصار TTP) جدیدی در آینده اجرا کنند.
لذا توصیه میشود جهت در امان ماندن از کارزارهای Emotet و تهدیدات مشابه آن و کاهش اثر سوء آنها، اقدامات زیر در اولویت قرار گیرد:
- فایلهای حساس و حیاتی را در مکانهای معمولی نظیر Desktop ،My Documents و غیره نگهداری نکنید.
- علاوه بر بکارگیری رمزهای عبور قوی، از احراز هویت چند عاملی (Multi-factor Authentication – به اختصار MFA) استفاده کنید.
- تا جایی که امکان دارد و عملی است، قابلیت بهروزرسانی خودکار نرمافزار را در کامپیوتر، تلفن همراه و سایر دستگاههای خود فعال کنید.
- از یک راهکار امنیتی و ضدویروس قدرتمند در دستگاههای متصل به اینترنت از جمله کامپیوتر شخصی، لپتاپ، و موبایل استفاده کنید.
- از باز کردن لینکهای غیرقابل اعتماد و پیوستهای ایمیل بدون اطمینان از صحت آنها خودداری کنید.
- به طور منظم از دادههای حساس خود نسخههای پشتیبان تهیه کنید و نسخههای پشتیبان را آفلاین یا در یک شبکه جداگانه نگه دارید.
- به صورت منظم از مهمترین دادههای فعلی و حیاتی سازمان با پیروی از قاعده 1-2-3 نسخه پشتیبان تهیه کنید. بر طبق این قاعده، به طور دورهای از هر فایل سه نسخه میبایست نگهداری شود (یکی اصلی و دو نسخه به عنوان پشتیبان). فایلها باید بر روی دو رسانه ذخیرهسازی مختلف نگهداری شوند. یک نسخه از فایلها میبایست در یک موقعیت جغرافیایی متفاوت نگهداری شود.
نشانههای آلودگی این بدافزار در مسیر زیر قابل دریافت است:
https://blog.cyble.com/2022/11/09/emotet-returns-targeting-users-worldwide/
منبع:
https://blog.cyble.com/2022/11/09/emotet-returns-targeting-users-worldwide/