Abel นักวิจัยด้านความปลอดภัยได้เปิดเผยการพบการเปลี่ยนวิธีการโจมตีของ Emotet โดยหันมาใช้ Microsoft OneNote แทนการใช้ Microsoft Word และ Excel ในการแนบไฟล์อันตรายเพื่อโจมตี และหลบหลีกการตรวจจับจากอุปกรณ์ป้องกันด้านความปลอดภัย
Emotet เป็น malware botnet ที่มีชื่อเสียง ซึ่งในอดีตใช้การโจมตีผ่านทาง Microsoft Word และ Excel โดยการฝัง macro ที่เป็นอันตราย ซึ่งหากผู้ใช้งานเปิดไฟล์แนบ และเปิดใช้งาน macro จะส่งผลให้ถูกดาวน์โหลด และติดตั้งมัลแวร์ Emotet บนอุปกรณ์เป้าหมาย รวมถึงดาวน์โหลดเพย์โหลดอันตรายอื่น ๆ และเข้าถึงเครือข่ายภายในขององค์กร
โดย Emotet ถูกพบอีกครั้งในต้นเดือนมีนาคม 2023 หลังจากที่ได้หายไปเกือบ 3 เดือน โดยในตอนแรกที่ถูกพบ Emotet ยังคงใช้ไฟล์ Word และ Excel ที่ฝัง macro ที่เป็นอันตรายอยู่ แต่เนื่องจากปัจจุบัน Microsoft ได้ทำการปิดการใช้งาน macro เป็นค่าเริ่มต้นไปแล้ว ทำให้การโจมตีดังกล่าวจึงไม่ค่อยประสบผลสำเร็จ
Emotet เปลี่ยนมาใช้ Microsoft OneNote ในการโจมตี
นักวิจัยได้พบการโจมตีของ Emotet ผ่านทาง Microsoft OneNote ที่แนบไฟล์อันตราย โดยจะถูกส่งมาในรูปแบบอีเมลตอบกลับที่เลียนแบบคำแนะนำ วิธีใช้ ใบแจ้งหนี้ การอ้างอิงงาน และอื่น ๆ
เมื่อเหยื่อเปิดเอกสาร Microsoft OneNote ก็จะพบกับข้อความแจ้งว่าเอกสารได้รับการป้องกัน ให้ทำการ double-click ตรง 'View' เพื่อดูเอกสาร
โดยเอกสาร Microsoft OneNote ดังกล่าวจะถูกสร้างองค์ประกอบเพื่อซ่อนไฟล์ VBScript ที่เป็นอันตรายที่เรียกว่า 'click.wsf' ไว้ใต้ปุ่ม 'View' 
ซึ่ง VBScript ดังกล่าวจะทำการ ดาวน์โหลด DLL จากเว็บไซต์ภายนอกที่ถูกโจมตี เพื่อสั่งการดาวน์โหลดเพย์โหลดที่เป็นอันตรายต่อไป 
ถึงแม้ว่า Microsoft OneNote จะแสดงคำเตือนเมื่อผู้ใช้พยายามเปิดไฟล์ที่ฝังอยู่ใน OneNote แต่ส่วนใหญ่ ผู้ใช้งานมักไม่ให้ความสนใจ และกดตกลง 
เมื่อทำการกดตกลงแล้ว ไฟล์ click.wsf VBScript ที่ถูกฝังไว้จะถูกดำเนินการโดยใช้ WScript.exe จากโฟลเดอร์ Temp ของ OneNote เพื่อดาวน์โหลดมัลแวร์ Emotet เป็น DLL และจัดเก็บไว้ในโฟลเดอร์ Temp เดียวกัน หลังจากนั้นจะเปิดตัว DLL ที่เป็นชื่อสุ่มโดยใช้ regsvr32.exe เพื่อทำการปิดระบบของตัวเองรอคำสั่งเพิ่มเติมจาก Command and Control (C2) server ในการเก็บข้อมูลในเครื่องเป้าหมาย รวมถึงกระจายตัวไปในเครือข่ายของเป้าหมาย นอกจากนี้ยังพบว่า Emotet ได้ใช้มัลแวร์อื่น ๆ รวมถึง Cobalt Strike ในการโจมตีอีกด้วย
การป้องกัน
ทาง Microsoft มีแผนที่จะปรับปรุงความปลอดภัยใน Microsoft OneNote แต่ยังไม่มีกำหนดการที่แน่ชัด bleepingcomputer แนะนำให้ทำการติดตั้ง Microsoft 365/Microsoft Office group policy templates และตั้งค่าในส่วน Disable embedded files และ Embedded Files Blocked Extensions เพื่อป้องกันการเรียกใช้ไฟล์แนบของ Microsoft OneNote ไปก่อน จนกว่าจะมีวิธีการป้องกันอย่างเป็นทางการ
ที่มา : bleepingcomputer
You must be logged in to post a comment.