W ostatnich dniach pojawiła się ciekawa kampania phishingowa rozprzestrzeniająca znany nam już malware – trojan Emotet. Cyberprzestępcy z powodzeniem dystrybuują ładunek z trojanem za pośrednictwem wiadomości e-mail, które ostrzegają mieszkańców Japonii o zbliżającej się infekcji koronawirusem. Dotyczy to mieszkańców dystryktów Gifu, Osaka oraz Tottori.

Treść wiadomości e-mail skonstruowana jest w taki sposób, że wywołuje strach u odbiorców i ten sposób manipuluje nimi, żeby otworzyli załącznik. Nadawcy wiadomości podają się za opiekę społeczną oraz ośrodki zdrowia publicznego. Przestrzegają użytkowników o zbliżającej się do Japonii fali turystów, masowej infekcji koronawirusem i przesyłają obiecane porady i środki ostrożności w załączniku, w którym oczywiście jest malware.

Grupa odpowiedzialna za popularyzacje trojana Emotet, znana jest z wykorzystywania trendów w bieżących wydarzeniach na Świecie. Wcześniejsze kampanie spamowały użytkowników promocjami świątecznymi, zaproszeniami na imprezy Halloween czy informacją na temat demonstracji Grety Thunberg. Teraz robią to ponownie, wykorzystując kryzys w globalnej skali wywołany infekcjami koronawirusa.


Treść wiadomości


Według doniesień społeczności cybersecurity w Japonii, kampania wykorzystuje skradzione wiadomości e-mail z wcześniej przejętych kont jako szablon do stworzenia fałszywych treści. Jednak podobno język japoński w nazwie maila oraz nazwie pliku jest trochę „dziwny”. Nazwy te składają się z różnych zapisów aktualnej daty oraz japońskiego słowa „powiadomienie”, aby zasugerować odbiorcy pilność.
Poniżej treść jednego ze spamowych maili zgłoszonych przez mieszkańców Osaki:

Tłumacząc na nasz ojczysty język:

„Tsucho – instytucja zapewniająca świadczenia z tytułu opieki społecznej.

Dbaj o siebie!

Przypadki zachorowań na nowy rodzaj zapalenia płuc związany z koronawirusem odnotowano głównie w Takeshi w Chinach. W Japonii wiadomo o pacjentach zgłoszonych w prefekturze Osaka. Wraz z przewidywanym wzrostem liczby przyjezdnych do Japonii wydano osobne zawiadomienie.

Po więcej szczegółów sprawdź załącznik.”




Jak widzimy na obrazku, niektóre fałszywe wiadomości e-mail zawierają również prawdziwą stopkę z adresem instytucji, która rzekomo jest nadawcą maila.

Taka kampania, to nowe podejście do dostarczenia trojana Emotet, znacznie bardziej skuteczne, które w najbliższym czasie może rozprzestrzenić się na inne państwa Świata.


Zawartość załącznika


Celem wysyłania takich wiadomości, jest nakłonienie użytkownika do otwarcia załączonego dokumentu w formacie Microsoft Word, który jest plikiem złośliwym, zaprojektowanym do pobrania i zainstalowania trojana Emotet.

Jeśli ofiara da się nabrać i otworzy załącznik, zobaczy standardowy szablon dokumentu Office 365, który poprosi o „Włączenie zawartości”, aby poprawnie wyświetlić dokument. Po kliknięciu w przycisk, zostaną uruchomione makra zawarte w dokumencie i za pomocą Powershell zainstalowany zostanie trojan Emotet, którego ładunek również zaszyty jest w pliku z załącznika.

Zainfekowany komputer zostanie następnie wykorzystany do wysyłania złośliwych maili spamując dalej informacje o koronawirusie i rozprzestrzeniając ładunek Emotet.

Oprócz tego, oczywiście zainstalowany Emotet pozwoli atakującemu pobrać dane uwierzytelniające użytkownika, historię jego przeglądarki oraz poufne dokumenty, które zostaną spakowane i wysłane do serwerów Command & Control.


Podsumowanie


Każdy użytkownik Internetu powinien posiadać podstawową wiedzę o zagrożeniach na niego czyhających. Musimy uważać na wszelkie podejrzane wiadomości e-mail, które docierają do naszej skrzynki odbiorczej, gdyż poczta elektroniczna jest wciąż najczęstszym wektorem dostarczenia malware do ofiary. Szczególnie ważne są tutaj właśnie załączniki z dokumentami MS Office, czyli .docx, .xlsx, .pptx, gdyż z pozoru niepozorne, mogą zawierać ukryte złośliwe makra. Więcej w artykule tutaj.
Zamiast otwierać podejrzane załączniki, warto skonsultować się z nadawcą w celu potwierdzenia lub najpierw przesłać wiadomość do działu bezpieczeństwa, aby mogli oni sprawdzić załącznik w odseparowanym, kontrolowanym środowisku.
Polecamy również zapoznać się naszym artykułem – Jak rozpoznać phishing.

Trojan Emotet zajął pierwsze miejsce w rankingu „Top 10 most prevalent threats” udostępnionym pod koniec grudnia 2019 przez platformę do analiz złośliwego oprogramowania – Any.Run.