Известная малварь Emotet, недавно возобновившая свою активность, теперь распространяется с помощью писем с вложенными файлами Microsoft OneNote. Таким образом вредонос стремится обойти ограничения, связанные с отключением макросов в Microsoft Word и Excel, и заразить больше целей.
Напомню, что недавно Emotet возобновил работу после трехмесячного перерыва и снова начал рассылать вредоносные письма по всему миру. Однако сначала операторы малвари, как обычно, пытались использовать для атак документы Word и Excel с макросами. Поскольку Microsoft теперь автоматически блокирует макросы в загруженных из внешних источников документах (включая почтовые вложения), эта кампания вряд ли была успешной.
Как и предполагали многие ИБ-эксперты, теперь Emotet переключился на использование Microsoft OneNote, чтобы обойти эти ограничения. В рамках новой кампании к письмам прикрепляются документы Microsoft OneNote, в которых отображается сообщение о том, что документ защищен. Потенциальной жертве предлагается дважды кликнуть на кнопку «View», чтобы правильно отобразить документ.
Дел в том, что Microsoft OneNote позволяет создавать документы, содержащие различные элементы дизайна, которые накладываются на встроенный документ. В итоге при двойном клике по месту, где находится встроенный файл (даже если над ним находится элемент дизайна), файл будет запущен. И в этой вредоносной кампании операторы Emotet скрыли вредоносный файл VBScript с именем click.wsf прямо под кнопкой «View».
VBScript содержит обфусцированный скрипт, который загружает DLL с удаленного (вероятно, скомпрометированного) сайта, а затем выполняет его, запустив DLL со случайным именем, используя regsvr32.exe.
Хотя Microsoft OneNote отображает предупреждение, когда пользователь пытается запустить встроенный файл в OneNote, как известно, многие пользователи нажимают кнопку «ОК», не читая предупреждений.
В итоге Emotet будет работать на устройстве жертвы, воруя электронную почту, контакты и ожидая дальнейших команд от управляющего сервера. Хотя неизвестно, какие полезные нагрузки в конечном итоге доставляются в систему пострадавшего в рамках этой кампании, обычно заражение приводит к установке Cobalt Strike или дополнительной малвари.
Так как Microsoft OneNote уже стал серьезной проблемой и используется для распространения вредоносных программ, Microsoft обещает добавить в OneNote улучшенную защиту от фишинга. Но конкретных сроков, когда это улучшение станет доступно для всех пользователей, пока нет.
Источник: xakep