Thứ sáu, 29/03/2024
(Thứ tư, 22/03/2023, 11:15 am GMT+7)

        Phần mềm độc hại Emotet hiện được tán phát bằng tệp đính kèm theo email của chương trình Microsoft OneNote nhằm vượt qua các chính sách bảo mật của Microsoft và lây lan ra nhiều mục tiêu hơn.

        Trong lịch sử, Emotet là một mạng lưới phần mềm nổi tiếng được tán phát thông qua các tệp đính kèm Microsoft Word và Excel có chứa các dòng lệnh độc hại. Nếu người dùng mở tệp đính kèm và kích hoạt vào dòng lệnh độc hại, DLL (Dynamic Link Library – được hiểu như file chứa các chương trình liên kết) sẽ được tải xuống và thực hiện các chỉ dẫn để cài đặt phần mềm Emotet trên thiết bị. Sau khi được tải, phần mềm độc hại sẽ đánh cắp danh bạ và nội dung của email để sử dụng trong các hoạt động gửi thư rác sau đó. Phần mềm này cũng sẽ tải các dữ liệu khác nhằm cung cấp quyền truy cập vào hệ thống liên kết.

       Quyền truy cập này để thực hiện các cuộc tấn công lại hệ thống liên kết bao gồm các hoạt động tấn công bằng mã độc, đánh cắp dữ liệu, gián điệp mạng và tống tiền.

        Mặc dù Emotet là một trong những phần mềm độc hại được tán phát nhiều nhất trong quá khứ, tuy nhiên phần mềm này đã bị ngăn chặn và mới chỉ bùng phát trở lại vào cuối năm 2022. Sau ba tháng bị ngăn chặn, phần mềm Emotet bất ngờ hoạt động trở lại tán phát các email kèm các dòng lệnh độc hại trên toàn thế giới.

        Tuy nhiên, hoạt động tán phát lần này bị thất bại và cũng chỉ có thể lây lan đến rất ít người dùng do phần mềm tiếp tục sử dụng các dòng lệnh đính kèm Word và Excel trong khi đó Microsoft đã nâng cấp tính năng tự động chặn các dữ liệu độc hại được tải xuống từ Word và Excel bao gồm cả những tệp được đính kèm trong email.

         BleepingComputer đã dự báo rằng phần mềm độc hại Emotet sẽ chuyển sang lợi dụng các tệp của Microsoft OneNote để tán phát các dữ liệu độc hại sau khi bị Microsoft chặn các dòng lệnh. Đúng như dự đoán, một hoạt động tán phát phần mền độc hại Emotet đầu tiên được phát hiện bởi nhà nghiên cứu bảo mật Abel, theo dó, những tác nhân nguy hiểm đã bắt đầu tán phát phần mềm độc hại Emotet bằng cách sử dụng các tệp đính kèm Microsoft OneNote.

        Các tệp đính kèm này được tán phát trong các email trả lời như là hướng dẫn, sách hướng dẫn, hóa đơn, tài liệu tham khảo công việc… Đính kèm với email là các tài liệu của Microsoft OneNote hiển thị thông báo rằng tài liệu được bảo vệ. Sau đó sẽ nhắc người dùng nhắp chuột vào nút “Xem” để hiện thị đầy đủ tài liệu.

        Microsoft OneNote còn cho phép người dùng tạo các tài liệu thiết kế làm vỏ bọc lên các tài liệu được đính kèm. Tuy nhiên, khi người dùng nhắp đúp vào tài liệu được đính kèm thì tệp sẽ được khởi chạy ngay cả khi có tài liệu vỏ bọc.

        Lần quay trở lại này của Emotet, những tác nhân nguy hiểm đã ẩn một tệp VBCcript độc hại có tên “click.wsf” bên dưới nút “Xem”. VBScript này chứa một tập lệnh được xáo trộn mà khi tải dòng lệnh DLL về người dùng sẽ bị tấn công và thực thi các lệnh độc hại.

        Mặc dù Microsoft OneNote sẽ hiển thị cảnh báo khi người dùng cố gắng khởi chạy các tệp đính kèm trong OneNote, nhưng trên thực tế đã cho thấy nhiều người dùng thường đã nhắp vào nút “Đồng ý” để bỏ qua cảnh báo. Nếu người dùng nhắp chuột vào nút “Đồng ý”, tệp đính kèm VBScript sẽ được khởi chạy bằng cách sử dụng Wscript.exe từ thư mục Temp trên OneNote, tuy nhiên tệp này sẽ hiện thị khác nhau đối với mỗi người dùng. Sau đó tập lệnh sẽ tải về phần mềm độc hại Emotet dưới dạng hiển thị dòng lệnh DLL(VirusTotal) và lưu trữ trong cùng thư mục Temp. Tiếp theo phần mềm sẽ khởi chạy ngẫu nhiên DLL bằng cách sử dụng dòng lệnh Regsvr32.exe.

        Phần mềm Emotet sẽ lặng lẽ chạy trên thiết bị của người dùng, thực hiện đánh cắp email, danh bạ, kiểm soát và chờ lệnh tiếp theo từ máy chủ.

         Mặc dù không rõ mục đích cuối cùng của hoạt động tán phát này là gì nhưng nó hỗ trợ các cuộc tấn công mạng hoặc cài đặt các phần mềm độc hại khác. Các tập lệnh được tải về cho phép các tác nhân nguy hiểm phối hợp với phần mềm Emotet để có quyền truy cập vào thiết bị của người dùng và sử dụng làm bước đệm để thực hiện lây lan mã độc đến các thiết bị khác.

          Microsoft OneNote đã trở thành một vấn đề nghiêm trọng trong việc tán phát phần mềm độc hại khi đa số các phần mềm độc hại lợi dụng để đính kèm tệp  trên chương trình này. Do đó, Microsoft cần bổ sung các tính năng bảo vệ trong OneNote để ngăn chặn các tài liệu độc hại, tuy nhiên chưa có mốc thời gian cụ thể khi nào tính năng này khả dụng với người dùng.

         Một tin vui cho người dùng là các quản trị viên Windows có thể cấu hình các nhóm chính sách để ngăn chặn các tệp độc hại từ Microsoft OneNote. Các quản trị viên có thể sử dụng nhóm chính sách này để chặn hoàn toàn các tệp đính kèm trong Microsoft OneNote hoặc cho phép người dùng chỉ định chặn các tệp mở rộng. Đây là một phương pháp hữu hiệu đối với người dùng cho đến khi Microsoft bổ sung các tính năng bảo vệ cho OneNote.

       Dịch từ nguồn: https://www.bleepingcomputer.com/news/security/emotet-malware-now-distributed-in-microsoft-onenote-files-to-evade-defenses/

   Tác giả: Phòng Kỹ thuật nghiệp vụ

Ý kiến
Ý kiến của bạn sẽ được xét duyệt trước khi đăng. Xin vui lòng gõ tiếng Việt có dấu
Hỗ trợ người dân, doanh nghiệp