AccueilsécuritéEmotet est diffusé via de faux packages Adobe Windows App Installer

Emotet est diffusé via de faux packages Adobe Windows App Installer

Le malware Emotet est désormais distribué via des packages Windows App Installer malveillants déguisés en logiciel Adobe PDF.

Emotet

Voir également: Quelles nouvelles campagnes Emotet apparaissent dans les boîtes aux lettres du monde entier ?

Emotet est un malware qui se propage via le phishing par e-mail et les pièces jointes malveillantes. Une fois installé, il volera les e-mails d'autres campagnes de courrier indésirable et développera des logiciels malveillants, tels que TrickBot et Qbot, qui conduisent généralement à des attaques de ransomware.

Les agents malveillants derrière Emotet infectent désormais les systèmes en installant des packages malveillants à l'aide d'une fonctionnalité intégrée. fenêtres 10 et Windows 11 appelé App Installer.

Les chercheurs ont déjà utilisé cette méthode pour distribuer des logiciels malveillants sur BazarLoader, où il a installé des packages malveillants hébergés sur Microsoft Azure.

Utilisation d'URL et d'exemples d'e-mails signalés par l'équipe de surveillance Emotet Cryptolaème, le flux d'attaque de la nouvelle campagne de pêche électronique a été présenté.

Cette nouvelle campagne Emotet commence par des e-mails volés qui apparaissent en réponse à un chat existant.

Ces réponses disent simplement "Veuillez voir la pièce jointe" au destinataire et contiennent un lien vers un supposé PDF lié au chat par e-mail.

Lorsque le lien est cliqué, l'utilisateur sera redirigé vers une fausse page Google Drive lui demandant de cliquer sur un bouton pour prévisualiser le document PDF.

Voir également: Mise à jour de Google Drive: nouvelles fonctionnalités de la version Android

Adobe

Ce bouton d'aperçu PDF est une URL de ms-appinstaller qui tente d'ouvrir un fichier d'installation d'application hébergé sur Microsoft Azure à l'aide d'URL à * .web.core.windows.net.

Un fichier d'application d'installation est simplement un fichier XML qui contient des informations sur l'éditeur signé et l'URL dans l'appbundle à installer.

Lorsque vous essayez d'ouvrir un fichier .appinstaller, le navigateur Windows vous invite à continuer si vous souhaitez ouvrir Windows App Installer.

Une fois que vous avez accepté, une fenêtre d'installation d'applications apparaîtra vous demandant d'installer le composant Adobe PDF.

Le package malveillant ressemble à une application Adobe légitime, car il possède une icône Adobe PDF légitime, un certificat valide qui l'identifie comme une « application de confiance » et de fausses informations sur l'éditeur. Ce type de validation de Windows est plus que suffisant pour que de nombreux utilisateurs fassent confiance à l'application et l'installent.

Voir également: Le botnet Emotet est de retour avec l'aide de Trickbot

Une fois qu'un utilisateur clique sur le "boutonInstallationApp Installer téléchargera et installera l'appxbundle malveillant hébergé sur Microsoft Azure. Cet appxbundle installera une DLL dans le dossier % Temp% et l'exécutera avec rundll32.exe.

Cette procédure copiera également la DLL en tant que fichier et dossier nommés de manière aléatoire dans % LocalAppData%.

Enfin, une saisie semi-automatique sera créée dans HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Exécuter pour démarrer la DLL automatiquement lorsqu'un utilisateur se connecte à Windows.

Emotet était le malware le plus largement distribué dans le passé jusqu'à ce qu'une société d'application de la loi ferme et reprenne l'infrastructure du botnet. Dix mois plus tard, Emotet a été ressuscité alors qu'il commençait à être reconstruit à l'aide du cheval de Troie TrickBot.

Absent Miahttps://www.secnews.gr
Être soi-même, dans un monde qui essaie constamment de vous changer, est votre plus grande réussite
spot_img

NOUVELLES EN DIRECT