به گزارش کارگروه حملات سایبری سایبربان؛ بدافزار ایموتِت با استفاده از ضمایم ایمیل وان نوت مایکروسافت و با هدف دور زدن محدودیت های امنیتی مایکروسافت و آلوده سازی اهداف بیشتر در حال منتشر شدن است.
ایموتت یک بدافزار بدنام است که از طریق ضمایم ورد و اکسل حاوی ماکروهای آلوده منتشر می شود. در صورت باز شدن ضمایم و فعال سازی ماکروها از سوی کاربر، یک فایل DLL دانلود و اجرا می شود که بدافزار ایموتت را بر روی دستگاه نصب می کند.
هنگامی که این بدافزار بارگذاری می شود، اقدام به سرقت مخاطبین ایمیل و محتوای آن می کند تا بتواند آن ها را برای کمپین های اسپم آینده مورد استفاده قرار دهد. این بدافزار دیگر پی لودها را نیز دانلود می کند و دسترسی اولیه ای را به شبکه سازمانی ارائه می دهد.
این دسترسی در جهت انجام حملات سایبری به شرکت ها مورد استفاده قرار می گیرد.
از آن جایی که مایکروسافت به صورت خودکار ماکروهای موجود در اسناد ورد و اکسل را مسدود می کند، ایموتت فایل های مایکروسافت وان نوت را مورد استفاده قرار می دهد.
در این کمپین بدافزاری ایموتت، بازیگران مخرب یک فایل مخفی و مخرب VBScript به نام 'click.wsf' را در اختیار دارند. این VBScript شامل یک اسکریپت مبهم سازی شده است که یک فایل DLL را از یک وبسایت مورد هدف قرار گرفته دانلود و سپس اجرا می کند.
این اسکریپت سپس بدافزار ایموتت را دانلود می کند و سپس با استفاده از regsvr32.exe یک فایل DLL رندوم را راه اندازی می کند.
ایموتت در نهایت بر روی دستگاه اجرا می شود و ضمن سرقت ایمیل و اطلاعات تماس، منتظر دستورات جدید سرور کنترل و فرمان خواهد ماند.
این موضوع معمولا به نصب کوبالت استرایک یا دیگر بدافزارها ختم خواهد شد!
این پی لودها به دیگر بازیگران مخرب نیز اجازه می دادند تا به دستگاه دسترسی پیدا کنند!
ظاهرا مایکروسافت وان نوت به زمین بازی بازیگران مخرب سایبری تبدیل شده است و ادمین های مایکروسافت بایستی چاره ای برای آن بیاندیشند.
