Getty Resimleri
Yaygın olarak İnternet’in en önemli tehditlerinden biri olarak kabul edilen Emotet botnet, bir aylık aradan sonra geri döndü ve bazı yeni hileleri var.
Geçen hafta Emotet, dört aylık bir aradan sonra bu yıl ilk kez ortaya çıktı. Ticari marka etkinliğiyle geri döndü – bilinen bir kişiden geliyormuş gibi görünen, alıcıya adıyla hitap eden ve mevcut bir e-posta dizisini yanıtlıyormuş gibi görünen kötü amaçlı spam mesajları dalgası. Emotet önceki molalardan geri döndüğünde, uç nokta güvenlik ürünlerinden kaçınmak ve kullanıcıları bağlantılara tıklamaları veya ekli Microsoft Office belgelerindeki tehlikeli makroları etkinleştirmeleri için kandırmak üzere tasarlanmış yeni teknikler getirdi. Geçen hafta faaliyetin yeniden başlaması farklı değildi.
Örneğin, geçen Salı günü gönderilen kötü amaçlı bir e-posta, sonuna büyük miktarda gereksiz veri eklenmiş bir Word belgesini ekledi. Sonuç olarak, dosyanın boyutu 500 MB’tan fazlaydı ve bazı güvenlik ürünlerinin içeriği taramasına engel olacak kadar büyüktü. İkili doldurma veya dosya pompalama olarak bilinen bu teknik, belgenin sonuna sıfır ekleyerek çalışır. Güvenlik şirketi Trend Micro’dan araştırmacılar Pazartesi günü yaptığı açıklamada, birinin kandırılarak makroyu etkinleştirmesi durumunda, teslim edilen kötü amaçlı Windows DLL dosyasının da pompalanarak dosyanın 616 KB’den 548.1 MB’a yükselmesine neden olduğunu söyledi.
Ekteki belgede bir başka kaçış hilesi tespit edildi: Herman Melville klasik romanından alıntılar Moby Dick, beyaz bir sayfa üzerinde beyaz bir yazı tipiyle görünür, böylece metin okunamaz. Bazı güvenlik ürünleri, yalnızca bir makro ve bir görüntü içeren Microsoft Office dosyalarını otomatik olarak işaretler. Görünmez metin, hedefte şüphe uyandırmadan bu tür yazılımlardan kaçmak için tasarlanmıştır.
Derin İçgüdü
Açıldığında, Word belgeleri, kullanıcı “içeriği etkinleştir” düğmesini tıklamadığı sürece içeriğe erişilemeyeceğini belirten bir grafik sunar. Geçen yıl Microsoft, internetten indirilen makroları varsayılan olarak devre dışı bırakmaya başladı.
Trend Mikro
“İçeriği etkinleştir” düğmesine tıklamak bu varsayılanı geri alır ve makronun çalışmasına izin verir. Makro, Office’in saldırıya uğramış meşru bir web sitesinden bir .zip dosyası indirmesine neden olur. Office daha sonra arşiv dosyasını açar ve aygıta bulaşan şişirilmiş Emotet DLL’yi yürütür.
Bir kurbanın cihazına bulaştığında, kötü amaçlı yazılım şifreleri ve diğer hassas verileri çalar ve cihazı diğer kullanıcılara kötü amaçlı spam göndermek için kullanır. Kötü amaçlı yazılım, Ryuk fidye yazılımı veya TrickBot kötü amaçlı yazılımı gibi ek kötü amaçlı yazılımları da indirebilir. Enfeksiyon zinciri şöyle görünür:
Trend Mikro
Bu son canlanmada görülen ayrıntılara gösterilen özen, imza Emotet davranışıdır. Botnet, yıllarca virüs bulaşmış makinelerden alınan e-posta konuşmalarını özenle kopyaladı ve bunları dizideki diğer taraflara gönderilen kötü amaçlı istenmeyen postaların içine yerleştirdi. Hedefin geçmişte iletişim kurduğu birinden gelen bir e-postayı takip ederek, kötü amaçlı spam iletinin tespit edilmeme şansı daha yüksektir. Emotet ayrıca Wi-Fi ağlarına erişim sağlayabilir ve bağlı cihazlara virüs bulaştırabilir.
Emotet’in geri dönüşüyle birlikte, güvenilir kaynaklardan geliyor gibi görünseler, hedefi adıyla çağırsalar ve daha önce gönderilen ve alınan e-postaları içerseler bile, insanlar kötü amaçlı e-postalara dikkat etmelidir. E-posta ile gönderilen belgelerde makroları etkinleştirmek için nadiren iyi bir neden vardır. Kişiler, önce gönderenle telefon, anlık mesaj veya e-posta olmayan başka bir ortam aracılığıyla iletişim kurmadan bunların çalışmasına izin vermemelidir.
En son Emotet koşusunda en çok etkilenen ülkeler Avrupa, Asya Pasifik ve Latin Amerika’dır.
