Các chiến dịch kỹ nghệ xã hội liên quan đến việc triển khai mạng botnet phần mềm độc hại Emotet đã được quan sát thấy lần đầu tiên bằng cách sử dụng các định dạng địa chỉ IP “độc đáo” nhằm nỗ lực tránh né sự phát hiện của các giải pháp bảo mật.
Điều này liên quan đến việc sử dụng các biểu diễn thập lục phân và bát phân của địa chỉ IP mà khi được xử lý bởi các hệ điều hành bên dưới, sẽ được tự động chuyển đổi “sang biểu diễn tứ phân có dấu chấm để bắt đầu yêu cầu từ các máy chủ từ xa”, Nhà phân tích mối đe dọa của Trend Micro, Ian Kenefick , cho biết trong một báo cáo hôm thứ Sáu.
Các chuỗi lây nhiễm, cũng như các cuộc tấn công liên quan đến Emotet trước đây, nhằm mục đích lừa người dùng bật macro tài liệu và tự động thực thi phần mềm độc hại. Tài liệu sử dụng Macro Excel 4.0, một tính năng đã bị các tác nhân độc hại lạm dụng nhiều lần để phân phối phần mềm độc hại.
Sau khi được bật, macro sẽ gọi một URL bị xáo trộn bằng dấu mũ, với máy chủ lưu trữ kết hợp biểu diễn thập lục phân của địa chỉ IP – “h ^ tt ^ p ^: / ^ / 0xc12a24f5 / cc.html” – để thực thi ứng dụng HTML (HTA ) mã từ máy chủ từ xa.
Biến thể thứ hai của cuộc tấn công lừa đảo tuân theo cùng một mô thức, điểm khác biệt duy nhất là địa chỉ IP hiện được mã hóa ở định dạng bát phân – “h ^ tt ^ p ^: / ^ / 0056.0151.0121.0114 / c.html”.
Kenefick cho biết: “Việc sử dụng không theo thông thường của địa chỉ IP hệ thập lục phân và bát phân có thể dẫn đến việc né tránh các giải pháp hiện tại dựa vào đối sánh mẫu,” Kenefick nói. “Các kỹ thuật trốn tránh như thế này có thể được coi là bằng chứng cho thấy những kẻ tấn công tiếp tục đổi mới để cản trở các giải pháp phát hiện dựa trên mẫu.”
Sự phát triển diễn ra trong bối cảnh hoạt động của Emotet được làm mới vào cuối năm ngoái sau 10 tháng gián đoạn kéo dài 10 tháng sau hoạt động phối hợp thực thi pháp luật. Vào tháng 12 năm 2021, các nhà nghiên cứu đã phát hiện ra bằng chứng về việc phần mềm độc hại phát triển chiến thuật của nó để thả Cobalt Strike Beacons trực tiếp vào các hệ thống bị xâm nhập.
Phát hiện cũng đến khi Microsoft tiết lộ kế hoạch tắt Macro Excel 4.0 (XLM) theo mặc định để bảo vệ khách hàng trước các mối đe dọa bảo mật. “Cài đặt này hiện mặc định cho macro Excel 4.0 (XLM) bị vô hiệu hóa trong Excel (Bản dựng 16.0.14427.10000)”, công ty đã thông báo vào tuần trước.
.
