Tóm tắt
Emotet được coi là mã độc phổ biến nhất cũng như phá hoại và tốn kém nhất để khắc phục hiện nay (1). Nó chủ yếu lây lan qua các email lừa đảo có chứa một liên kết độc hại hoặc một tài liệu bị nhiễm. Khi nạn nhân tải xuống tệp hoặc nhấp vào liên kết, mã độc bổ sung sẽ tự động được tải xuống thiết bị của họ và sau đó nhân lên trong mạng doanh nghiệp.
Bất chấp việc gỡ bỏ hàng loạt vào tháng 1 năm 2021 nhờ các cơ quan thực thi pháp luật và tư pháp quốc tế (1), Emotet vẫn tiếp tục phát triển mạnh mẽ và phát tán mã độc với các thủ đoạn tinh vi hơn. Một trong những chiến thuật sử dụng tệp lối tắt Windows (. LNK) chứa các lệnh PowerShell để tải xuống tải trọng Emotet trên thiết bị của nạn nhân mà chúng tôi đã phân tích trong blog cuối cùng của mình. Tác giả mối đe dọa đã thực hiện điều chỉnh này để đáp ứng với bảo vệ VBA do Microsoft đưa ra.
Vào tháng 4 năm 2022, một chiến dịch Emotet mới lạm dụng đã được nén lại. Các tệp LNK đã được phát hiện trong tự nhiên. Trong blog này, chúng tôi phân tích vectơ này và trình bày cách bạn có thể ngăn chặn các loại mã độc này bằng OPSWAT MetaDefender.
Chuỗi lây nhiễm Emotet
Các nhà khai thác botnet Emotet bắt đầu cuộc tấn công bằng một email spam chứa tệp zip độc hại được bảo vệ bằng mật khẩu với tệp liên kết lối tắt được nhúng (. LNK). Họ lạm dụng tệp lối tắt vì rất khó phân biệt. Tệp được ngụy trang dưới dạng tệp tài liệu có biểu tượng và phần mở rộng không được hiển thị theo mặc định trong Windows.
Ngay sau khi nạn nhân trích xuất tệp zip và thực hiện tệp . LNK, nó thả một Microsoft VBScript (Visual Basic Script) có hại trong thư mục tạm thời trên thiết bị của họ.
VBScript bị bỏ thực thi và tải xuống tải trọng Emotet từ một máy chủ từ xa. Khi tệp nhị phân được tải xuống, nó sẽ lưu tệp vào thư mục tạm thời của Windows và thực thi nó bằng regsvr32.exe. Sau khi bị nhiễm, Emotet tự nhân đôi để lây lan sang các máy tính khác trong mạng.
Cách ngăn chặn Emotet và các cuộc tấn công nâng cao tương tự
Có rất nhiều khuyến nghị và hướng dẫn từ các cơ quan chính phủ và chuyên gia an ninh mạng trên toàn cầu để giúp người dùng nhận ra và bảo vệ chống lại các chiến dịch Emotet tinh vi (2), chẳng hạn như:
• Không mở tệp đính kèm email đáng ngờ hoặc nhấp vào các liên kết đáng ngờ trong nội dung email.
• Đảm bảo rằng nhân viên của bạn được đào tạo đầy đủ để xác định các liên kết email và tệp đính kèm đáng ngờ
• Luôn cập nhật hệ điều hành, ứng dụng và phần mềm bảo mật của bạn.
Với OPSWAT Email Gateway Security và OPSWAT MetaDefender Core , bạn có thể dễ dàng bảo vệ toàn diện tổ chức của mình khỏi Emotet cũng như các mối đe dọa tinh vi khác . Công nghệ Deep CDR™ (Giải mã và Tái cấu trúc Nội dung) hàng đầu thị trường của chúng tôi vô hiệu hóa cả các mối đe dọa đã biết và chưa biết được ẩn giấu bên trong các tập tin. Theo triết lý không tin tưởng tuyệt đối của chúng tôi, chúng tôi giả định tất cả các tập tin đi vào mạng của bạn đều độc hại, vì vậy chúng tôi quét, làm sạch và tái cấu trúc mọi tập tin trước khi chúng đến tay người dùng. Tất cả nội dung hoạt động được ẩn giấu trong các tập tin đều bị vô hiệu hóa hoặc loại bỏ, đảm bảo môi trường không có mối đe dọa cho tổ chức của bạn.
Mối đe dọa Emotet hiện tại được ngăn chặn như sau:
1.OPSWAT Email Gateway Security cách ly các tệp đính kèm được bảo vệ bằng mật khẩu.
2. Để tải xuống tệp đính kèm, người nhận cần cung cấp mật khẩu của tệp cho hệ thống cách ly.
3.MetaDefender Core quét tệp để tìm mã độc đã biết bằng giải pháp đa quét của chúng tôi có tên là Metascan. Như hình dưới đây, 11/16 động cơ đã phát hiện thành công mối đe dọa.
4. MetaDefender Core Chương trình trích xuất tệp đính kèm và làm sạch đệ quy mọi tệp lồng nhau bằng công nghệ Deep CDR™. Kết quả bên dưới cho thấy một đối tượng đã được tìm thấy và xóa bỏ.
Trong quá trình làm sạch, công nghệ Deep CDR™ đã thay thế lệnh độc hại trong tệp .LNK bằng tệp dummy.txt để vô hiệu hóa mối đe dọa.
5.Email Gateway Security Giải phóng email với tệp đính kèm không có mối đe dọa cho người dùng. Đây là kết quả quét của tệp sau khi Làm sạch. Không có mối đe dọa nào được phát hiện.
6. Giờ đây, người dùng có thể giải nén tệp đính kèm trên máy của họ và tạo tệp LNK mà không phải lo lắng về bất kỳ vấn đề an toàn nào. Ngay cả khi người dùng mở tệp LNK, sẽ không có mã độc nào được tải xuống vì lệnh độc hại của tệp LNK được thay thế.
Tìm hiểu thêm về Công nghệ Deep CDR™ hoặc liên hệ với chúng tôi để khám phá các giải pháp bảo mật tốt nhất nhằm bảo vệ mạng lưới doanh nghiệp và người dùng của bạn khỏi các cuộc tấn công mạng nguy hiểm và phức tạp.
Tham khảo
(1) CyberNews. 2022. 'World’s most dangerous malware' Emotet disrupted. [online] Available at: <https://cybernews.com/news/worlds-most-dangerous-malware-emotet-disrupted>; [Accessed 9 June 2022].
(2) Ipa.go.jp. 2022. 「Emotet(エモテット)」と呼ばれるウイルスへの感染を狙うメールについて:IPA 独立行政法人 情報処理推進機構. [online] Available at: <https://www.ipa.go.jp/security/announce/20191202.html#L20%3E>; [Accessed 8 June 2022].
