Emotet - это печально известная бот-сеть, которая, несмотря на то, что была ликвидирована в 2021 году, вновь появилась на свет. В своей последней волне атак они переключились на заражение OneNote, рассылая письма с вредоносными файлами OneNote. При открытии одного из них на экране появляется изображение, аналогичное приведенному ниже.
Нажатие на кнопку просмотра приводит к выполнению встроенного и деобфусцированного вредоносного VBScript.
Cуществует несколько сайтов, содержащих полезную нагрузку. Скрипт пробует каждый из них до тех пор, пока не добьется успеха, после чего сохраняет полезную нагрузку - DLL - в каталоге temp, исполняя ее с помощью regsvc32.exe. Выполненная DLL загружает ресурс (LXGUM) из своей секции ресурсов и расшифровывает его с помощью простого алгоритма свертывающего XOR.
Расшифрованная полезная нагрузка на самом деле представляет собой шелл-код, выполняющий типичный импорт по хэшу. Две из разрешенных функций - LdrLoadDll и LdrGetProcedureAddress - часто используются авторами вредоносных программ для обхода динамического анализа известных API: LoadLibrary и GetProcAddress в данном случае. Далее происходит выделение памяти и запись в выделенную память блоба (PE-файла) из секции ресурсов, который и является конечной полезной нагрузкой Emotet. Разрешаются DLL-зависимости, восстанавливается таблица адресов импорта (IAT). Затем шеллкод перезаписывает DOS-заголовок PE-файла, чтобы затруднить обнаружение двоичного файла в памяти решениями EDR. Наконец, выполняется Emotet.
Сама полезная нагрузка Emotet остается такой же, как и в предыдущих волнах атак.
Indicators of Compromise
MD5
- 238f7e8cd973a386b61348ab2629a912
- df3ee4fb63c971899e15479f9bca6853