Εκστρατείες κοινωνικής μηχανικής που περιλαμβάνουν την ανάπτυξη του botnet κακόβουλου λογισμικού Emotet έχουν παρατηρηθεί να χρησιμοποιούν “μη συμβατικές” μορφές διευθύνσεων IP για πρώτη φορά σε μια προσπάθεια να παρακάμψουν τον εντοπισμό από λύσεις ασφαλείας.
Αυτό περιλαμβάνει τη χρήση δεκαεξαδικών και οκταδικών αναπαραστάσεων της διεύθυνσης IP, που όταν υποβάλλονται σε επεξεργασία από τα υποκείμενα λειτουργικά συστήματα, μετατρέπονται αυτόματα “στην διακεκομμένη τετραγωνική παράσταση για να ξεκινήσει το αίτημα από τους απομακρυσμένους διακομιστές”, ανέφερε σε ρεπορτάζ την Παρασκευή ο αναλυτής απειλών της Trend Micro, Ian Kenefick.
Οι αλυσίδες μόλυνσης, όπως και με προηγούμενες επιθέσεις που σχετίζονται με το Emotet, στοχεύουν να ξεγελάσουν τους χρήστες ώστε να ενεργοποιήσουν τις μακροεντολές εγγράφων και να αυτοματοποιήσουν την εκτέλεση κακόβουλου λογισμικού. Το έγγραφο χρησιμοποιεί μακροεντολές Excel 4.0, μια δυνατότητα που έχει καταχραστεί επανειλημμένα από κακόβουλους παράγοντες για την παράδοση κακόβουλου λογισμικού.
Μόλις ενεργοποιηθεί, η μακροεντολή καλεί μια διεύθυνση URL που είναι ασαφής με carets, με τον κεντρικό υπολογιστή να ενσωματώνει μια δεκαεξαδική αναπαράσταση της διεύθυνσης IP — “h^tt^p^:/^/0xc12a24f5/cc.html” — για την εκτέλεση μιας εφαρμογής HTML (HTA ) κωδικός από τον απομακρυσμένο κεντρικό υπολογιστή.
Μια δεύτερη παραλλαγή της επίθεσης phishing ακολουθεί τον ίδιο τρόπο λειτουργίας, με τη μόνη διαφορά ότι η διεύθυνση IP κωδικοποιείται πλέον σε οκταδική μορφή — “h^tt^p^:/^/0056.0151.0121.0114/c.html”.
«Η ασυνήθιστη χρήση δεκαεξαδικών και οκταδικών διευθύνσεων IP μπορεί να έχει ως αποτέλεσμα την αποφυγή των τρεχουσών λύσεων που εξαρτώνται από την αντιστοίχιση προτύπων», είπε ο Kenefick. «Τεχνικές αποφυγής όπως αυτές θα μπορούσαν να θεωρηθούν απόδειξη ότι οι εισβολείς συνεχίζουν να καινοτομούν για να εμποδίσουν λύσεις ανίχνευσης που βασίζονται σε μοτίβα».
Η εξέλιξη έρχεται εν μέσω της ανανεωμένης δραστηριότητας της Emotet στα τέλη του περασμένου έτους μετά από μια παύση 10 μηνών στον απόηχο μιας συντονισμένης επιχείρησης επιβολής του νόμου. Τον Δεκέμβριο του 2021, οι ερευνητές ανακάλυψαν στοιχεία για το κακόβουλο λογισμικό που εξελίσσει τις τακτικές του για να ρίξει τα Cobalt Strike Beacons απευθείας σε παραβιασμένα συστήματα.
Τα ευρήματα φτάνουν επίσης καθώς η Microsoft αποκάλυψε σχέδια να απενεργοποιήσει τις μακροεντολές Excel 4.0 (XLM) από προεπιλογή για την προστασία των πελατών από απειλές ασφαλείας. “Αυτή η ρύθμιση είναι πλέον από προεπιλογή ότι οι μακροεντολές Excel 4.0 (XLM) είναι απενεργοποιημένες στο Excel (Build 16.0.14427.10000)”, ανακοίνωσε η εταιρεία την περασμένη εβδομάδα.