تعود شبكة Emotet Botnet إلى الحياة

تم تعطيل إحدى أكبر شبكات الروبوتات وإغلاقها في عملية إنفاذ القانون الدولية التي جرت في أوائل عام 2021. والآن ، بعد أكثر من عام ، تظهر نفس الروبوتات إشارات على الحياة مرة أخرى ، ويبدو أنها نمت بعضًا منها قرون وأشواك جديدة في الوقت الذي كانت نائمة فيه. إن الروبوتات المعنية هي شبكة Emotet bot سيئة السمعة - شبكة من الأجهزة المخترقة المستخدمة لأغراض ضارة مختلفة.

ما هو Emotet؟

يمكن استخدام الروبوتات في عدد من المهام الخبيثة من قبل الطرف الذي يتحكم في الأجهزة المخترقة أو "الروبوتات". في حالة Emotet ، تم استخدام الشبكة لنشر البرامج الضارة وتم تأجير الروبوتات إلى أطراف ضارة أخرى ، على غرار نموذج ransomware كخدمة ، فقط بيع الوصول إلى البنية التحتية للجهاز المخترق.

الآن ، حدد فريق بحث مع شركة الأمان Proofpoint "نشاط Emotet منخفض الحجم" ، واصفاً إياه بأنه يختلف "بشكل جذري" عن الطريقة المعتادة لتشغيل شبكة Emotet الروبوتية .

يتم الآن توزيع Emotet باستخدام حملات البريد الإلكتروني. يبدو أن عناوين البريد الإلكتروني التي تنشأ منها الرسائل الضارة قد تعرضت للاختراق ، وفقًا للباحثين ، لأن وحدة البريد العشوائي Emotet لم تُستخدم لدفعها إلى المستلمين.

تنتشر حملة البريد الإلكتروني الخبيثة الجديدة Emotet

كانت رسائل البريد الإلكتروني بسيطة في هيكلها - سلاسل موضوع من كلمة واحدة ، مثل "الراتب". هذه خدعة بسيطة ولكنها فعالة لجذب انتباه الضحية وحث المستخدم على النقر فوق كل ما هو وارد في البريد الإلكتروني. في هذه الحالة ، تحتوي رسائل البريد الإلكتروني على ارتباط واحد فقط إلى OneDrive.

تشير ارتباطات OneDrive إلى ملفات MS Excel XLL الموضوعة في أرشيف مضغوط. تتم تسمية جميع ملفات الأرشيف ووثيقة Excel المضمنة فيها بشكل مشابه لموضوع البريد. في المثال الذي تم توفيره بواسطة Proofpoint ، تمت تسمية الأرشيف "راتب_new.zip" وملف Excel بداخله - "راتب_و_بونوس -04.01.2022.xll".

بمجرد أن يستخرج المستخدم ملف Excel ويحاول فتحه ، يتم إسقاط Emotet ونشره.

نظرًا للطبيعة المنخفضة الحجم للحملة ، على عكس نهج البريد العشوائي العدواني ذي الحجم الكبير المعتاد الذي استخدمته شركة Emotet سابقًا ، يعتقد الباحثون أن مشغلي البرامج الضارة يختبرون أساليب وتقنيات جديدة ويختبرون طرقًا جديدة لتجنب الاكتشاف الآلي.