بهرهگیری Emotet از ماکروهای مخرب مخفیکننده

به تازگی یک نوع جدید از تروجان Emotet رصد شدهاست که با جاسازی یکسری ماکروهای مخرب درون خود، توانسته قابلیت مخفی شدن از نرمافزارهای ضد بدافزار را بهدست آورد.
این تروجان از این ماکروها به منظور کپی کردن پیلود اصلی خود در فایلهای XML ساخته شده، مانند اسناد word، استفادهمیکند. تروجان Emotet (که به نامهای Geodo یا Heodo نیز شناخته میشود) یک تروجان ماژولار است که توسط گروه Mealybug توسعه داده شدهاست و توسط هکرها برای آلوده کردن اهداف قربانی، از طریق spam ایمیل و به منظور دزدیدن اطلاعات مالی مانند اطلاعات ورود به حساب بانک یا کیف ارز دیجیتالی (cryptocurrency) استفاده میشود.
این تروجان همچنین امکان ربودن اطلاعات و دادههای حساس، کلمات ورود و اطلاعات شناسایی شخصی را دارد که این موارد منجر به سرقت هویت یک کاربر میشود. این تروجان همچنین طراحی شدهاست که به عنوان یک کانال حامل برای تروجانهای بانکی دیگر یا برای سرقت اطلاعات و باتهای ماژولار خاص مانند Trickbot عمل کند.
گروه امنیتی Menlo یک نوع جدید از تروجان Emotet شناسایی کرده که از اواسط ماه ژانویه در حال فعالیت است که سطح تشخیص ضدویروس را بهواسطه آلودگی اولیه ماکرو VBA، حداقل میکند.
تیم امنیت Menlo، دو نوع از این بدافزار را که تا اواسط ماه ژانویه منتشر شدهاست، رصد کردهاند. نوع اول که ۸۰ درصد از نمونهها را در برمیگیرد، یک فایل XML است که هدر استاندارد XML به اضافه فرمت نمونه فایلهای XML مستندات word ماکروسافت را دارد. این نوع از این بدافزار، همچنین حامل داده کدگذاری شده شامل یک کد ماکرو VBA مخفی شده و بهصورت فشرده نیز هست. این فایل مخرب به صورت .doc خود را نامگذاری میکند. نوع دوم از این بدافزار که ۲۰ درصد بقیه نمونههای تشخیص داده شده از این بدافزار را شامل میشود به صورت فایل استاندارد word است که شامل کد مخرب ماکرو نیز میشود.
روند آلودگی بهوسیله این بدافزار کاملا پیچیده است و از یک ساختار سلسله مراتبی پیروی میکند. اسکریپت اولیه بدافزار فرایندهای چندگانه ایجاد میکند که منجر به شروع به کار یک اسکریپت powershell میشود این اسکریپت powershell پیلود Emotet را در پوشه TEMP دستگاه آلوده شده، بارگذاری میکند.
به محض اینکه این تروجان یک میزبان را آلوده میکند، شروع به اتصال به یک سری از URLهای لیست شده (که احتمالا سرورهای کنترل و فرمان (C&C) مهاجم است) میکند. این روند اتصال به صورت حلقههای پیدر پی هستند و بعد از موفقیت، اتصال قطع میشود.
بدافزار Emotet در واقع یک تروجان بانکی چندریختی است که میتواند از شناسایی شدن بهوسیله روشهای معمول مبتنی بر امضا خود را مخفی کند. این بدافزار روشهای متعددی برای حفظ خود و کسب پایداری در دستگاه میزبان دارد، از جمله این روشها استفاده از سرویسها و کلیدهای ریجیستری auto –start است. این تروجان از DLLهای ماژولار برای تکامل دائمی خود و بهروزرسانی تواناییهایش استفاده میکند. علاوهبر این، این تروجان میتواند ماشین مجازی بودن میزبان را تشخیص میدهد و اگر در ماشینهای مجازی اجرا شود میتواند شاخصهای اشتباه تولید کند.



