首页保安Emotet 通过伪造的 Adob​​e Windows App Installer 包传播

Emotet 通过伪造的 Adob​​e Windows App Installer 包传播

Emotet 恶意软件现在通过伪装成 Adob​​e PDF 软件的恶意 Windows 应用安装程序包进行分发。

Emotet

另见: 全球邮箱中出现了哪些新的 Emotet 活动

Emotet 是一种通过电子邮件网络钓鱼和恶意附件传播的恶意软件。 安装后,它会从其他垃圾邮件活动中窃取电子邮件并开发恶意软件,例如 TrickBot 和 Qbot,这通常会导致勒索软件攻击。

Emotet 背后的恶意代理现在通过使用内置功能安装恶意软件包来感染系统。 窗户10 和 Windows 11 称为应用安装程序。

研究人员之前曾使用这种方法在 BazarLoader 上分发恶意软件,它安装了托管在 Microsoft Azure 上的恶意软件包。

使用 Emotet 监控团队报告的 URL 和电子邮件样本 隐em,介绍了新的电子钓鱼活动的攻击流程。

这个新的 Emotet 活动从被盗电子邮件开始,这些电子邮件是对现有对话的回应。

这些答案只是对收件人说“请查看附件”,并包含指向与电子邮件聊天相关的假定 PDF 的链接。

单击该链接后,用户将被带到一个虚假的 Google Drive 页面,要求他们单击一个按钮来预览 PDF 文档。

另见: Google云端硬盘更新:Android版本中的新功能

土砖

此 PDF 预览按钮是 ms-appinstaller 的 URL,它尝试使用以下 URL 来打开托管在 Microsoft Azure 上的应用程序安装文件 * .web.core.windows.net.

安装应用程序文件只是一个 XML 文件,其中包含有关签名发布者的信息以及要安装的 appbundle 中的 URL。

当您尝试打开文件时 .appinstaller,如果您想打开 Windows 应用安装程序,Windows 浏览器将提示您继续。

同意后,将出现一个应用程序安装程序窗口,要求您安装 Adob​​e PDF 组件。

该恶意程序包看起来像一个合法的 Adob​​e 应用程序,因为它有一个合法的 Adob​​e PDF 图标、一个将其标识为“受信任的应用程序”的有效证书和虚假的发布者信息。 来自 Windows 的这种类型的验证足以让许多用户信任应用程序并安装它。

另见: Emotet 僵尸网络在 Trickbot 的帮助下卷土重来

一旦用户单击“按钮ΕγκατάστασηApp Installer 将下载并安装托管在 Microsoft Azure 上的恶意 appxbundle。 这个 appxbundle 将在文件夹中安装一个 DLL %温度% 并将执行它 rundll32.exe.

此过程还将 DLL 作为随机命名的文件和文件夹复制到 %LocalAppData%.

最后,将创建一个自动完成 HKCU \软件\微软\ Windows \ CurrentVersion \运行 当用户登录到 Windows 时自动启动 DLL。

在一家执法公司关闭并接管僵尸网络基础设施之前,Emotet 是过去分布最广的恶意软件。 十个月后,Emotet 在 TrickBot 木马程序的帮助下开始重建时复活了。

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就
现货图片

实时新闻