Emotet-botnettet kommer tilbage til livet
Et af de største botnets blev afbrudt og lukket ned i en international retshåndhævelsesoperation, der fandt sted i begyndelsen af 2021. Nu, mere end et år senere, viser det samme botnet tegn på liv igen, og det ser ud til, at det er vokset nogle nye horn og pigge i den tid, den lå i dvale. Det pågældende botnet er det berygtede Emotet bot-netværk - et net af kompromitterede enheder, der bruges til forskellige ondsindede formål.
Hvad er Emotet?
Et botnet kan bruges til en række ondsindede opgaver af den part, der kontrollerer de kompromitterede enheder eller "bots". I tilfældet med Emotet blev netværket brugt til at sprede malware, og bots blev lejet ud til andre ondsindede parter, svarende til ransomware-as-a-service-modellen, og solgte kun adgang til den kompromitterede enhedsinfrastruktur.
Nu har et forskerhold med sikkerhedsfirmaet Proofpoint identificeret "lavvolumen Emotet-aktivitet" og beskriver den som "drastisk" forskellig fra den almindelige måde, Emotet-botnettet blev betjent på.
Emotet bliver nu distribueret ved hjælp af e-mail-kampagner. E-mail-adresserne, som de ondsindede beskeder stammer fra, ser ud til at være kompromitteret, ifølge forskere, fordi Emotet-spammodulet ikke blev brugt til at skubbe dem ud til modtagerne.
Ny ondsindet e-mail-kampagne spreder Emotet
E-mails var enkle i struktur - emnestrenge på ét ord, såsom "Løn". Dette er et simpelt, men effektivt trick til at vække ofrets opmærksomhed og få brugeren til at klikke sig igennem, hvad der end er indeholdt i e-mailen. I dette tilfælde indeholder e-mails kun et enkelt link til OneDrive.
OneDrive-linkene peger på MS Excel XLL-filer, placeret i et zip-arkiv. Arkivfilerne og Excel-dokumentet i dem er alle navngivet på samme måde som emnet for mailen. I eksemplet leveret af Proofpoint fik arkivet navnet "Salary_new.zip" og Excel-filen inde i det - "Salary_and_bonuses-04.01.2022.xll".
Når brugeren udpakker Excel-filen og forsøger at åbne den, droppes Emotet og installeres.
I betragtning af kampagnens lave volumen karakter, i modsætning til den sædvanlige højvolumen aggressive spam-tilgang, der tidligere blev brugt af Emotet, mener forskere, at malware-operatørerne afprøver nye tilgange og teknikker og tester nye måder at undgå automatisk registrering.