پس از اینکه مایکروسافت ماکرو‌های VBA را به طور پیش‌فرض غیرفعال کرد، اپراتور‌های بات‌نت Emotet (که با نام TA542 شناسایی می‌شوند) در حال آزمایش تکنیک‌های حمله جدید مشاهده شده‌اند. در حال حاضر، تکنیک جدید روی اهداف محدودی استفاده می‌شود که نشان می‌دهد این تکنیک ممکن است یک فرایند آزمایشی باشد.

زنجیره حمله جدید
محققان پروفپوینت نشان داده‌اند که اپراتور‌ها در حال آزمایش تکنیک‌های جدید در حملات گزینش شده‌تر، قبل از اینکه آن‌ها را در حملات معمولی در مقیاس بزرگ malspam خود بکار گیرند، هستند.

این کمپین بین ۴ و ۱۹‌آوریل مشاهده شد. این فعالیت زمانی اتفاق افتاد که Emotet در تعطیلات بهاری بود و از کمپین‌های تهدید با حجم بالا اجتناب می‌کرد.

کمپین اخیر از یک حساب فرستنده در معرض خطر استفاده می‌کند و‌ ایمیل‌ها توسط ماژول اسپم معمول Emotet ارسال نشده‌اند.

جزییات بیشتر
موضوعات‌ ایمیل شامل کلمات ساده‌ای مانند "حقوق" و پیام‌ها شامل URL‌های OneDrive هستند که به فایل‌های فشرده بارگذاری شده با فایل‌های افزودنی اکسل اشاره دارند.

اجرای فایل‌های افزودنی اکسل (XLL) در آرشیو ZIP امکان حذف و اجرای بارگذاری Emotet را از بات‌نت Epoch 4 را می‌دهد.

آزمایش زنجیره‌های حمله مختلف به احتمال زیاد تلاشی برای فرار از تشخیص و پنهان ماندن است.

ظاهراً مهاجمان اکنون به تکنیک‌های جدیدی علاقه‌مند هستند که به فایل‌های دارای قابلیت ماکرو متکی نیستند.

نتیجه‌گیری
درست پس از اینکه مایکروسافت ماکرو‌ها را غیرفعال کرد، توسعه‌دهندگان Emotet راه‌های جدیدی برای غلبه بر آن ابداع کرده‌اند که نشان‌دهنده تلاش‌های آن‌ها برای ماندن در بالاترین سطح بازی است. علاوه بر این، یک حمله کم حجم و استفاده از OneDrive نشان می‌دهد که آن‌ها در حال آزمایش بروزرسانی‌های خود هستند و شاید برای اتفاق بزرگی در آینده نزدیک برنامه‌ریزی می‌کنند.