Emotet は再び新境地を開拓し、Microsoft OneNote ドキュメントに感染します。 したがって、企業で人気のあるデジタル ノートは、多くのユーザーにとって危険です。
実際、Microsoft は昨年の夏以降、ダウンロードしたドキュメントからマクロを自動的にブロックする取り組みを開始しました。 これにより、犯罪者はスパムを介してマルウェアを拡散する方法を再考せざるを得なくなりました。 注目すべき変化の XNUMX つは、他のいくつかの犯罪集団による Microsoft OneNote ドキュメントの使用です。 今度は、Emotet がこの戦略に従う番です。
危険な OneNote ドキュメント
🔎 [表示] をクリックすると、危険なスクリプトがトリガーされます (画像: Malwarebytes)。
OneNote ファイルは単純ですが、ドキュメントが保護されていることを示す偽の通知を使用して、ユーザーをソーシャル エンジニアリングするのに効果的です。 被害者に「表示」ボタンをクリックするように指示すると、被害者は誤って埋め込まれたスクリプト ファイルをダブルクリックしてしまいます。
- これにより、Windows スクリプト エンジン (wscript.exe) がトリガーされ、コマンドが実行されます。
- 高度に難読化されたスクリプトがリモート サイトから Emotet のバイナリ ペイロードを取得する
- ファイルは DLL として保存され、regsvr32.exe によって実行されます。
- システムにインストールされると、Emotet はそのコマンド アンド コントロール サーバーと通信して、さらなる指示を求めます。
Emotet はマルウェア スパムの配布を増やしていますが、ユーザーはこの脅威に特に注意する必要があります。 Malwarebytes のお客様は、Web 保護やマルウェア ブロックなど、攻撃チェーン内の複数のレイヤーでこの脅威から保護されています。
Emotet がポップアップし続ける
Emotet は休暇や退職を経て、当局によって閉鎖されたこともありますが、深刻な脅威をもたらし続けており、ソーシャル エンジニアリング攻撃の有効性を示しています。 マクロは間もなく過去のものになるかもしれませんが、攻撃者はさまざまな一般的なビジネス アプリケーションを使用して、最終目標を達成し、企業ネットワークに足場を築くことができます。 英語のブログ記事には、攻撃チェーンの個々のステップと使用されるコマンドがすべて示されています。
詳しくは Malwarebytes.com をご覧ください
Malwarebytesについて Malwarebytes は、ウイルス対策プログラムが検出しない危険な脅威、ランサムウェア、エクスプロイトからホーム ユーザーと企業を保護します。 Malwarebytes は、他のウイルス対策ソリューションを完全に置き換えて、個人ユーザーや企業に対する最新のサイバーセキュリティの脅威を回避します。 60.000 を超える企業と何百万人ものユーザーが、Malwarebyte の革新的な機械学習ソリューションとそのセキュリティ研究者を信頼して、新たな脅威を回避し、時代遅れのセキュリティ ソリューションが見逃していたマルウェアを排除しています。 詳細については、www.malwarebytes.com にアクセスしてください。