Emotet Rises Again: Evades Macro Security via OneNote Attachments
มัลแวร์ Emotet ถูกนำกลับมาใช้ในการโจมตีอีกครั้งหลังจากหายไปในช่วงเวลาสั้นๆ ซึ่งในปัจจุบันกำลังเผยแพร่ตัวเองผ่านไฟล์แนบในอีเมล Microsoft OneNote เพื่อพยายามหลบเลี่ยงการตรวจจับด้านความปลอดภัยและมาโครในการโจมตี มัลแวร์ Emotet มักจะแพร่กระจายผ่านอีเมลสแปมที่มีไฟล์แนบที่เป็นอันตราย แต่เมื่อ Microsoft ดำเนินการเพื่อบล็อกมาโครในไฟล์ Office ที่ดาวน์โหลดมา ทำให้ไฟล์แนบของ OneNote กลายเป็นทางเลือกที่น่าสนใจอีกทางหนึ่งที่สามารถนำมาใช้ในการโจมตี
โดยไฟล์ OneNote นั้นใช้งานง่ายแต่มีประสิทธิภาพสำหรับการโจมตีแบบ social engineering ด้วยการแจ้งเตือนปลอมที่ระบุว่าเอกสารที่ได้รับนั้นเป็นเอกสารที่ปลอดภัย ทำให้เหยื่อเกิดความไว้วางใจในไฟล์เอกสารนั้นๆ และเมื่อเหยื่อจะดับเบิลคลิกที่ไฟล์จะทำให้สคริปต์ที่ฝังไว้ทำงานโดยอัตโนมัติ ไฟล์สคริปต์ Windows (WSF) ได้รับการออกแบบเพื่อดึงข้อมูลและดำเนินการผ่านเพย์โหลดไบนารีของ Emotet จากเซิร์ฟเวอร์ระยะไกล
มีการสังเกตว่าเอกสารดังกล่าวใช้ประโยชน์จากการบีบอัดเพื่อปกปิดไฟล์ขนาดใหญ่มาก (มากกว่า 550 MB) ซึ่งไฟล์ ZIP นั้นถูกใช้เพื่อให้หลบเลี่ยงการตรวจจับตามรายงานจาก Cyble, Deep Instinct, Hornetsecurity และ Trend Micro จากข้อมูลของ Trellix การตรวจจับ OneNote ที่เป็นอันตรายส่วนใหญ่ในปี 2023 ได้รับการรายงานในสหรัฐอเมริกา เกาหลีใต้ เยอรมนี ซาอุดีอาระเบีย โปแลนด์ อินเดีย สหราชอาณาจักร อิตาลี ญี่ปุ่น และโครเอเชีย โดยเป้าหมายในการโจมตีจะเป็นกลุ่มการผลิต เทคโนโลยี โทรคมนาคม การเงินและพลังงาน เป็นต้น
https://thehackernews.com/2023/03/emotet-rises-again-evades-macro.html