Emotet, bu hafta yeni bir özellik ekleyerek, Microsoft Word’ün güncellenmesi gerektiğini belirten bir Microsoft Office mesajı gibi görünen yeni bir şablona geçti.
Emotet, kötü amaçlı makrolar barındıran Word belgelerini içeren e-postalar aracılığıyla yayılan bir kötü amaçlı yazılımdır. Bu belge kullanıcılar tarafından açıldığında kullanıcılara makroları etkinleştirmesi için bir uyarı çıkmaktadır. Bu aşamada Microsoft güncellemesi bildirisi kullanılarak kullanıcılar kandırılmaktadır. Böylece, kötü amaçlı yazılım indirilecek ve bilgisayara yüklenecektir.
Dosya analiz edildiğinde, bu Word dosyasının makro içerdiği ve bu makro aracılığıyla powershell çalıştırıldığı görülmektedir. Kötü amaçlı yazılım yüklendikten sonra, Emotet zararlısı enfekte bilgisayarı istenmeyen e-postalar göndermek için kullanır ve nihayetinde kurbanın ağına fidye yazılımı saldırısına yol açabilecek başka kötü amaçlı yazılımlarda yükleyebilecektir.
Yeni Kötü Amaçlı Belge Şablonu
Emotet spam kampanyaları, alıcıları eki açmaları için, Resim 1’de gösterildiği gibi fatura, gönderi bildirimleri, özgeçmişler veya satın alma siparişleri ve hatta COVID-19 bilgileri gibi çeşitli konular ile kandırmaya çalışmaktadır.
Bu spam e-postalara, kötü amaçlı Word (.doc) ekleri veya bunlardan birini indirmek için bağlantılar eklenir. Bu ekler açıldığında, kullanıcıdan ‘İçeriği Etkinleştirmesini’ ister ve böylece kötü amaçlı makrolar, Emotet kötü amaçlı yazılımını kurbanın bilgisayarına yüklemek için çalışır.
Emotet, kullanıcıların makroları etkinleştirmeleri konusunda kandırmak için, bir uyarı görüntüleyen çeşitli tasarımlar veya belge şablonları kullanmaktadır.
Bu belge Microsoft Word’ü yükseltmek için kullanıcıya “Düzenlemeyi Etkinleştir “düğmesini ve ardından “İçeriği Etkinleştir” butonunu tıklamasını söyler, bu da kötü amaçlı makroların yürütülmesine neden olur.
Bu kötü amaçlı makrolar, Emotet kötü amaçlı yazılımını Resim 3’de gösterildiği gibi kurbanın % LocalAppData% klasörüne indirip yükleyecektir.
Emotet Eklerini Tanımak Neden Gereklidir?
Emotet, kullanıcıları hedefleyen en yaygın kötü amaçlı yazılım olarak kabul edilmektedir. Kurbanın bilgisayarına Trickbot ve QBot kötü amaçlı yazılımları gibi diğer kötü amaçlı yazılımları yüklediği için çok tehlikelidir. TrickBot ve QBot kurulduklarında, saklanan parolaları, banka bilgilerini ve çeşitli diğer bilgileri çalmaya çalışacaktır. Aynı zamanda Conti (TrickBot) veya ProLock (QBot) fidye yazılımı saldırılarına da yol açacaktır.
Bu nedenle, yanlışlıkla virüs bulaşmasını önlemek için tüm e-posta kullanıcılarının Emotet tarafından kullanılan kötü amaçlı belge şablonlarını tanıması önemlidir.
