Центр реагирования AhnLab Security Emergency response Center (ASEC) недавно обнаружил распространение Emotet через OneNote. Фишинговое письмо, как показано ниже, прикрепленное к файлу OneNote, побуждает читателя открыть вложение, которое содержит вредоносный файл сценария (JS-файл).
После запуска файла OneNote он направляет пользователя нажать кнопку для подключения к облаку, чтобы открыть документ. В эту кнопку 'Next' вставляется вредоносный скрипт с именем output1.js.
Как показано ниже, выполняемый файл output1.js обфусцирован с помощью подстановки строк. Выполняемый файл скрипта подключается к указанному C2 и загружает Emotet.
Загруженный Emotet выполняется через regsvr32.exe. Поскольку часто поступают сообщения о распространении вредоносных программ, использующих OneNote, пользователи должны быть осторожны при открытии электронных писем или файлов OneNote из неизвестных источников.
Indicators of Compromise
URLs
- http://www.garrett.kz/faq/iSPVXBmuu3nUma5wkdy/
- http://sdspush.beget.tech/connectors/GDSeP6kcWtck20hVy/
- http://www.agropuno.gob.pe/wp-content/f9I32dWeuQcbpRt19mZ7/
- http://sipo.ru/images/aCyHhlS8n0bXBg4BU/
- http://meteo.camera/11/VkU/
MD5
- b1a10568aa1e4a47ad2aa35788edc0af
- ad0358aa96105ca02607a7605f3a1e80
- 08d40c504500c324b683773b1c6189d9
- 89457cb5c8b296b5fb9a39218b485e1a
- 6c442d3235f3e60f7a9ea3efca0289ab
- 32ec97bbc9826ee88697362023ba68ed
- c3d33ce14a48096e1cd5ce43fa4e307e
- 27f882a2b795abfae8f33440afcd3ad4
- 50150db8010ddc87150cb8445f45d270