{"id":4506,"date":"2023-03-19T17:54:07","date_gmt":"2023-03-19T16:54:07","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4506"},"modified":"2023-03-19T17:54:07","modified_gmt":"2023-03-19T16:54:07","slug":"emotet-sada-koristi-microsoft-onenote-priloge","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/03\/19\/emotet-sada-koristi-microsoft-onenote-priloge\/","title":{"rendered":"Emotet sada koristi Microsoft OneNote priloge"},"content":{"rendered":"

Emotet<\/em> sada koristi Microsoft<\/em> OneNote<\/em> priloge kako bi zaobi\u0161ao sigurnosne mjere za\u0161tite i inficirao vi\u0161e korisnika.<\/span><\/p>\n

\"Emotet

Emotet sada koristi Microsoft OneNote priloge; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Stara taktika<\/strong><\/span><\/h2>\n

Emotet<\/em> je ozlogla\u0161eni zlonamjerni softver<\/a> koji se u pro\u0161losti \u0161irio preko Microsoft<\/em> Word<\/em> i Excel<\/em> priloga koji sadr\u017ee zlonamjerne macro<\/em> skripte. Ako korisnik otvori prilog i omogu\u0107i macro<\/em> skripte, dolazi do preuzimanja DLL<\/em> datoteke koja instalira Emotet<\/em> zlonamjerni softver na ure\u0111aj. Ovaj pristup se koristi za sprovo\u0111enje sajber napada na organizacije, koji mogu uklju\u010divati napade ransomvare<\/em>-a, kra\u0111u podataka, sajber \u0161pijuna\u017eu i iznude.<\/span><\/p>\n

Iako jedan od najrasprostranjenijih zlonamjernih softvera u pro\u0161losti, ulazi u fazu primjetnog usporavanja kampanja tokom pro\u0161le godine, da bi se naglo zaustavio krajem 2022. godine i napravio pauzu. Nakon ne\u0161to oko tri mjeseca neaktivnosti, Emotet<\/em> \u00a0<\/em>se iznenada ponovo aktivira ranije ovog mjeseca<\/a>.<\/span><\/p>\n

Nova kampanje je bila malo \u010dudna, po\u0161to je koristila Microsoft<\/em> Word<\/em> i Excel<\/em> priloge koji sadr\u017ee zlonamjerne macro<\/em> skripte, skripte \u010diju je upotrebu kompanija Microsoft<\/em> automatski blokirala u dokumentima preuzetim sa Interneta. O\u010dekivani uticaj ove kampanje na korisnike je bio veoma mali. Zbog ovoga, bilo je realno predvi\u0111anje da \u0107e zlonamjerni akteri promijeniti taktiku napada kako bi pro\u0161irili uticaj svoje kampanje na \u0161to ve\u0107i broj korisnika.<\/span><\/p>\n

 <\/p>\n

Promjena taktike<\/strong><\/span><\/h3>\n

Kao \u0161to je predvi\u0111eno, u Emotet<\/em> zlonamjernoj kampanji dolazi do promjene koju je prvi primijetio sigurnosni istra\u017eiva\u010d Abel<\/em><\/a>.<\/em> Zlonamjerni akteri sada distribuiraju Emotet<\/em> koriste\u0107i zlonamjerne Microsoft<\/em> OneNote<\/em> priloge. Ovi prilozi se distribuiraju u porukama elektronske po\u0161te u lancu odgovora koji imitiraju vodi\u010de, uputstva, fakture, reference za posao i sli\u010dno.<\/span><\/p>\n

\"document

Malicious Microsoft OneNote attachment; Source: BleepingComputer<\/a><\/em><\/p><\/div>\n

U prilogu elektronske po\u0161te Microsoft<\/em> OneNote<\/em> prikazuju poruku u kojoj se navodi da je dokument za\u0161ti\u0107en. Zatim se od korisnika tra\u017ei da dvaput kliknete na dugme \u201eView<\/em>\u201c da biste ispravno prikazali dokument. Korisnik klikom aktivira VBScript<\/em> datoteku pod nazivom \u201cclick.wsf<\/em>\u201d koja sadr\u017ei zamagljeni k\u00f4d za preuzimanje DLL<\/em> datoteke sa udaljene kompromitovane Internet lokacije i njeno pokretanje.<\/span><\/p>\n

\"Warning

Warning when opening a file embedded in Microsoft OneNote; Source: <\/em>BleepingComputer<\/em><\/a><\/p><\/div>\n

Preuzimanje zlonamjernog softvera<\/strong><\/span><\/h4>\n

Microsoft<\/em> OneNote<\/em> \u0107e u sklopu svoji bezbjednosnih mjera prikazati korisniku upozorenje kada korisnik poku\u0161a da pokrene ugra\u0111enu datoteku, ali pona\u0161anja korisnika iz pro\u0161losti pokazuju da mnogi korisnici obi\u010dno kliknu na dugme \u201cOK<\/em>\u201d da bi se otarasili upozorenja. Nakon ignorisanja upozorenja, dolazi do pokretanja izvr\u0161ne datoteke Wscript.exe<\/em> koja preuzima Emotet <\/em>zlonamjerni softver i pokre\u0107e ga pod nasumi\u010dnim imenom koriste\u0107i regsvr32<\/em>.exe<\/em> datoteku.<\/span><\/p>\n

\"Emotet

Emotet OneNote proces infekcije; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Nakon svih ovih koraka, Emotet <\/em>zlonamjerni softver \u0107e sada tiho raditi na ure\u0111aju korisnika i \u010dekati dalje naredbe od komandnog servera. Iako jo\u0161 uvije nije poznato koji softver se na kraju isporu\u010duje, obi\u010dno je u pitanju Cobalt Strike<\/em> ili sli\u010dan zlonamjerni softver. Ovo omogu\u0107ava raznim zlonamjernim akterima da u saradnji sa upravlja\u010dima\u00a0 Emotet <\/em>kampanje dobiju upori\u0161te na korisni\u010dkim ure\u0111ajima koje \u0107e poslije koristiti kao odsko\u010dnu dasku za dalje \u0161irenje.<\/span><\/p>\n

 <\/p>\n

Blokiranje zlonamjernih Microsoft OneNote priloga<\/strong><\/span><\/h5>\n

Microsoft<\/em> OneNote<\/em> postaje ogroman problem u smislu distribucije zlonamjernog softvera, po\u0161to se koristi u sve vi\u0161e zlonamjernih kampanja. Zbog toga je kompanija Microsoft<\/em> najavila implementaciju novi mehanizama za\u0161tite, me\u0111utim za sada ne postoji odre\u0111eni vremenski okvir kada \u0107e to biti dostupno korisnicima.<\/span><\/p>\n

Bez obzira na to, administratori mogu da konfiguri\u0161u grupne polise kao bi se za\u0161titili od ovih prijetnji. Administratori kroz grupne polise imaju mogu\u0107nost da u potpunosti blokiraju ugra\u0111ene datoteke ili da defini\u0161u odre\u0111ene ekstenzije datoteke koje bi bile blokirane za pokretanje. Vi\u0161e informacija kako to uraditi mo\u017eete na\u0107i ovdje<\/a>.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Emotet sada koristi Microsoft OneNote priloge kako bi zaobi\u0161ao sigurnosne mjere za\u0161tite i inficirao vi\u0161e korisnika. Stara taktika Emotet je ozlogla\u0161eni zlonamjerni softver koji se u pro\u0161losti \u0161irio preko Microsoft Word i Excel priloga...<\/p>","protected":false},"author":1,"featured_media":4508,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[299,303,302,300,301,296],"class_list":["post-4506","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-emotet","tag-macro-skripte","tag-microsoft-excel","tag-microsoft-onenote","tag-microsoft-word","tag-spam"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4506","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4506"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4506\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4508"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4506"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4506"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4506"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}