Af Eskil Sørensen, 02/12/21
Emotet-malwaren distribueres nu gennem ondsindede Windows App Installer-pakker, der foregiver at være Adobe PDF-software. Det skriver Bleeping Computer.
Konkret installeres de ondsindede pakker ved hjælp af en indbygget funktion i Windows 10 og Windows 11, der kaldes App Installer. Researchere har tidligere set den samme metode blive brugt til at distribuere BazarLoader-malwaren, hvor den installerede ondsindede pakker hostet på Microsoft Azure.
Email-korrespondance kopieres
Den nye Emotet-kampagne har det kendetegn, at den har indkopieret stjålne svarkæde-e-mails, der vises som et bevis på, at der er tale om et svar på en eksisterende e-mailkorrespondance.
Svarene opfordrer modtageren til at se en vedhæftet fil og indeholder et link til en uvederhæftigt PDF-dokument, der relateret til e-mail-korrespondancen. Når der klikkes på linket, vil brugeren blive bragt til en falsk Google Drev-side, hvor han/hun anmodes om at klikke på en knap for at få vist PDF-dokumentet.
Denne 'Preview PDF'-knap er i virkeligheden en ms-appinstaller-URL, der forsøger at åbne en appinstaller-fil hostet på Microsoft Azure ved hjælp af URL'er på *.web.core.windows.net.
Når man forsøger at åbne en .appinstaller-fil, vil Windows-browseren spørge, om man ønsker at åbne Windows App Installer-programmet for at fortsætte. Når man accepterer, vil man blive vist hen et appinstallationsvindue, hvor man opfordres til at installere 'Adobe PDF-komponenten'.
Misbruger Windows App Installer
Den ondsindede pakke ligner et legitimt Adobe-program, da det har et legitimt Adobe PDF-ikon, et gyldigt certifikat, der markerer det som en "Trusted App", og falske udgiveroplysninger. Denne type validering fra Windows er mere end nok til, at mange brugere kan stole på applikationen og installere den, som Bleeping Computer skriver efter selv at have gennemløbet metoder.
Når en bruger klikker på knappen 'Installer', vil App Installer downloade og installere den skadelige appxbundle, der er hostet på Microsoft Azure. Denne appxbundle vil installere en DLL i mappen %Temp% og udføre den med rundll32.exe.
Denne proces vil også kopiere DLL'en som en tilfældigt navngivet fil og mappe i %LocalAppData%.
Til sidst vil der blive oprettet en autorun under HKCU\Software\Microsoft\Windows\CurrentVersion\Run for automatisk at starte DLL'en, når en bruger logger på Windows.
Anbefalingen lyder, at Windows-administratorer bør være på forkant med distribution af malware og træner medarbejderne i at gennemskue metoderne.