Er zijn voor het eerst social engineering-campagnes waargenomen waarbij gebruik wordt gemaakt van het Emotet-malware-botnet met behulp van “onconventionele” IP-adresformaten in een poging detectie door beveiligingsoplossingen te omzeilen.
Dit omvat het gebruik van hexadecimale en octale representaties van het IP-adres die, wanneer verwerkt door de onderliggende besturingssystemen, automatisch worden geconverteerd “naar de gestippelde decimale quad-representatie om het verzoek van de externe servers te starten”, Trend Micro’s Threat Analyst, Ian Kenefick , zei vrijdag in een rapport.
De infectieketens zijn, net als bij eerdere Emotet-gerelateerde aanvallen, bedoeld om gebruikers te misleiden om documentmacro’s in te schakelen en de uitvoering van malware te automatiseren. Het document maakt gebruik van Excel 4.0-macro’s, een functie die herhaaldelijk is misbruikt door kwaadwillende actoren om malware te leveren.
Eenmaal ingeschakeld, roept de macro een URL op die is verdoezeld met carets, waarbij de host een hexadecimale weergave van het IP-adres bevat – “h^tt^p^:/^/0xc12a24f5/cc.html” – om een HTML-toepassing (HTA) uit te voeren ) code van de externe host.
Een tweede variant van de phishing-aanval volgt dezelfde modus operandi, met als enige verschil dat het IP-adres nu is gecodeerd in het octale formaat – “h^tt^p^:/^/0056.0151.0121.0114/c.html”.
“Het onconventionele gebruik van hexadecimale en octale IP-adressen kan ertoe leiden dat de huidige oplossingen die afhankelijk zijn van patroonherkenning, worden omzeild”, zei Kenefick. “Ontduikingstechnieken zoals deze kunnen worden beschouwd als bewijs dat aanvallers blijven innoveren om op patronen gebaseerde detectieoplossingen te dwarsbomen.”
De ontwikkeling vindt plaats te midden van hernieuwde Emotet-activiteit eind vorig jaar na een onderbreking van 10 maanden in de nasleep van een gecoördineerde wetshandhavingsoperatie. In december 2021 ontdekten onderzoekers bewijs van de malware die zijn tactiek ontwikkelde om Cobalt Strike Beacons rechtstreeks op gecompromitteerde systemen te laten vallen.
De bevindingen komen ook aan toen Microsoft plannen onthulde om Excel 4.0 (XLM)-macro’s standaard uit te schakelen om klanten te beschermen tegen beveiligingsrisico’s. “Deze instelling is nu standaard ingesteld op Excel 4.0 (XLM)-macro’s die worden uitgeschakeld in Excel (Build 16.0.14427.10000)”, het bedrijf bekend gemaakt vorige week.
