Botnet Emotet se vrací k životu
Jeden z největších botnetů byl přerušen a odstaven v rámci mezinárodní operace vymáhání práva, která proběhla na začátku roku 2021. Nyní, více než rok poté, stejný botnet opět vykazuje známky života a zdá se, že se trochu rozrostl. nové rohy a trny v době, kdy ležel ladem. Dotyčný botnet je nechvalně známá síť botů Emotet – síť kompromitovaných zařízení používaných k různým škodlivým účelům.
Co je Emotet?
Strana ovládající napadená zařízení nebo „boti“ může botnet použít pro řadu škodlivých úkolů. V případě Emotet byla síť použita k šíření malwaru a boti byli pronajímáni dalším škodlivým stranám, podobně jako u modelu ransomware-as-a-service, pouze prodávali přístup k ohrožené infrastruktuře zařízení.
Nyní výzkumný tým s bezpečnostní firmou Proofpoint identifikoval „nízkoobjemovou aktivitu Emotet“ a popsal ji jako „drasticky“ odlišnou od běžného způsobu provozování botnetu Emotet .
Emotet je nyní distribuován pomocí e-mailových kampaní. E-mailové adresy, ze kterých škodlivé zprávy pocházejí, se podle výzkumníků zdají být kompromitovány, protože spamový modul Emotet nebyl použit k jejich rozesílání příjemcům.
Nová škodlivá e-mailová kampaň šíří Emotet
Struktura e-mailů byla jednoduchá – jednoslovné předmětové řetězce, například „Plat“. Jedná se o jednoduchý, ale účinný trik, jak upoutat pozornost oběti a přimět uživatele, aby proklikal vše, co je obsaženo v e-mailu. V tomto případě e-maily obsahují pouze jeden odkaz na OneDrive.
Odkazy OneDrive ukazují na soubory MS Excel XLL umístěné v archivu zip. Archivní soubory a dokument Excel v nich obsažené jsou všechny pojmenovány podobně jako předmět e-mailu. V příkladu poskytnutém Proofpointem byl archiv pojmenován „Mzd_nový.zip“ a soubor Excel v něm – „Mzd_a_bonusy-04.01.2022.xll“.
Jakmile uživatel extrahuje soubor aplikace Excel a pokusí se jej otevřít, Emotet je zrušen a nasazen.
Vzhledem k nízkoobjemové povaze kampaně, na rozdíl od obvyklého vysokoobjemového agresivního spamového přístupu používaného společností Emotet dříve, se výzkumníci domnívají, že operátoři malwaru testují nové přístupy a techniky a testují nové způsoby, jak se vyhnout automatické detekci.