Emotet

Ο Emotet ξεκίνησε ως τραπεζικό δούρειο trojan πριν από περίπου πέντε χρόνια, αλλά έχει μετατραπεί σε πολύ περισσότερα. Σήμερα, έχει γίνει ένα από τα πιο επικίνδυνα botnets και malware droppers-για-μίσθωση στον κόσμο. Για να κερδηθούν πλήρως οι επιθέσεις, ο Emotet ρίχνει συχνά νέους τραπεζικούς δούρειους ίππους, μηχανισμούς συλλογής ηλεκτρονικού ταχυδρομείου, μηχανισμούς αυτοδιάσχεσης, καταστολείς πληροφοριών και ακόμη και ransomware.

Οι ερευνητές της ασφάλειας σημειώνουν ότι οι παράγοντες απειλής πίσω από τον Emotet έκαναν καλοκαιρινές διακοπές, αρχής γενομένης τον Ιούνιο του 2019, στις οποίες σταμάτησαν ακόμη και οι δραστηριότητες διοίκησης και ελέγχου (C2). Καθώς οι καλοκαιρινοί μήνες άρχισαν να καταλήγουν στο συμπέρασμά τους, ωστόσο, οι ερευνητές της ασφάλειας άρχισαν να βλέπουν την αύξηση της δραστηριότητας της υποδομής C2 του Emotet. Από τις 16 Σεπτεμβρίου 2019, η Emotet βρίσκεται ήδη σε πλήρη προσπάθεια με μια ανανεωμένη εκστρατεία ανεπιθύμητης αλληλογραφίας, βασιζόμενη στην κοινωνική μηχανική.

Το Emotet στοχεύει τους χρήστες υπολογιστών μέσω δελεαστικών καμπανιών ηλεκτρονικού ταχυδρομείου ανεπιθύμητων μηνυμάτων

Ένας από τους πιο έξυπνους και απειλητικούς τρόπους με τους οποίους τα μολυσμένα θύματα του Emotet ήταν μέσω κλεμμένου περιεχομένου ηλεκτρονικού ταχυδρομείου. Το κακόβουλο λογισμικό θα περάσει τα εισερχόμενα θυμάτων και θα αντιγράψει τις υπάρχουσες συζητήσεις, τις οποίες θα χρησιμοποιήσει στη συνέχεια στα δικά του μηνύματα ηλεκτρονικού ταχυδρομείου. Ο Emotet θα παραθέσει τα σώματα πραγματικών μηνυμάτων σε μια «απάντηση» στο μη αναγνωσμένο μήνυμα ηλεκτρονικού ταχυδρομείου ενός θύματος, σε μια προσπάθεια να τους εξαπατήσει να ανοίγουν ένα συνημμένο με κακόβουλο λογισμικό, συνήθως με το πρόσχημα ενός εγγράφου του Microsoft Word.

Δεν χρειάζεται πολλή φαντασία για να δούμε πώς κάποιος που περιμένει μια απάντηση σε μια συνεχιζόμενη συζήτηση θα μπορούσε να ξεγελαστεί με αυτόν τον τρόπο. Επιπλέον, με τη μίμηση των υφιστάμενων συζητήσεων μέσω ηλεκτρονικού ταχυδρομείου, συμπεριλαμβανομένων των πραγματικών περιεχομένων ηλεκτρονικού ταχυδρομείου και των κεφαλίδων αντικειμένων, τα μηνύματα καθίστανται πολύ πιο τυχαία και προκαλούν το φιλτράρισμα από συστήματα anti-spam.

Αυτό που είναι ενδιαφέρον είναι ότι ο Emotet δεν χρησιμοποιεί το μήνυμα ηλεκτρονικού ταχυδρομείου από το οποίο έκλεψε περιεχόμενο για να το στείλει σε πιθανό θύμα. Αντίθετα, αποστέλλει την ανυψωμένη συνομιλία σε ένα άλλο bot στο δίκτυο, το οποίο στη συνέχεια στέλνει το μήνυμα ηλεκτρονικού ταχυδρομείου από μια εντελώς διαφορετική τοποθεσία, χρησιμοποιώντας έναν τελείως ξεχωριστό εξερχόμενο διακομιστή SMTP.

Σύμφωνα με τους ερευνητές της ασφάλειας, ο Emotet χρησιμοποίησε κλεμμένες ηλεκτρονικές συνομιλίες σε περίπου 8,5 τοις εκατό των μηνυμάτων επίθεσης πριν από το καλοκαιρινό παύση του. Δεδομένου ότι η περίοδος των διακοπών έχει τελειώσει, ωστόσο, αυτή η τακτική έχει γίνει πιο εμφανής, αντιπροσωπεύοντας σχεδόν το ένα τέταρτο του συνόλου της εξερχόμενης κυκλοφορίας ηλεκτρονικού ταχυδρομείου του Emotet.

Cybercrooks μόχλευσης Emotet να κλέψει τα προσωπικά δεδομένα

Τα εργαλεία που βρίσκονται στη διάθεση των κυβερνοχώρων που προσπαθούν να κλέψουν προσωπικές πληροφορίες από τους υπολογιστές είναι ουσιαστικά ατελείωτες. Απλά συμβαίνει το γεγονός ότι ο Emotet είναι ένας τύπος απειλής κακόβουλου λογισμικού που είναι πολύ αποτελεσματικό στη μόχλευση με έναν τρόπο να ξεκινήσει εκστρατείες μάζας ανεπιθύμητων ηλεκτρονικών μηνυμάτων που εξαπλώνουν κακόβουλο λογισμικό που έχει σχεδιαστεί για να κλέβει δεδομένα από έναν ανυποψίαστο χρήστη του υπολογιστή. Ο τρόπος με τον οποίο εργάζεται ο Emotet είναι να ανοίξει ένα backdoor για άλλες απειλές υπολογιστή υψηλού κινδύνου, όπως το trojan horse Dridex, το οποίο έχει σχεδιαστεί ειδικά για να κλέβει δεδομένα από έναν υπολογιστή που χρησιμοποιεί επιθετικές τεχνικές phishing.

Όταν χρησιμοποιείται από τον σωστό τύπο hacker ή cybercrook, το Emotet μπορεί να χρησιμοποιηθεί με τρόπο ώστε να διεισδύσει ένας υπολογιστής για να φορτώσει και να εγκαταστήσει πολλές απειλές malware. Παρόλα αυτά, οι επιπρόσθετα εγκατεστημένες απειλές μπορεί να είναι πιο επικίνδυνες όταν μπορούν να συνδεθούν με διακομιστές εντολών και ελέγχου (C & C) για να κατεβάσουν οδηγίες για να πραγματοποιήσουν το μολυσμένο σύστημα.

Οι επιδράσεις του Emotet δεν πρέπει ποτέ να ληφθούν ελαφρώς

Σε κάθε περίπτωση απειλής κακόβουλου λογισμικού που είναι τόσο εκτεταμένο όσο το Emotet, οι χρήστες υπολογιστών πρέπει να λάβουν τις απαραίτητες προφυλάξεις για να αποτρέψουν μια επίθεση από αυτούς. Από την άλλη πλευρά, όσοι έχουν επιτεθεί από τον Emotet θα θέλουν να βρουν τον απαραίτητο πόρο για τον ασφαλή εντοπισμό και εξάλειψη της απειλής. Εάν κάποιος επιτρέψει στην Emotet να τρέξει σε έναν υπολογιστή για μεγάλο χρονικό διάστημα, ο κίνδυνος να υποστεί ζημιά τα δεδομένα εκθετικά αυξάνεται.

Οι χρήστες ηλεκτρονικών υπολογιστών που ενδέχεται να καθυστερήσουν στην εξάλειψη του Emotet ή τη λήψη των κατάλληλων προφυλάξεων θα θέσουν σε κίνδυνο τα προσωπικά τους δεδομένα που είναι αποθηκευμένα στον υπολογιστή τους, γεγονός που θα μπορούσε να οδηγήσει σε σοβαρά ζητήματα όπως η κλοπή ταυτότητας. Επιπλέον, το Emotet αποτελεί μια δύσκολη απειλή για την ανίχνευση, η οποία είναι μια διαδικασία που γίνεται κυρίως από έναν ενημερωμένο πόρο ή εφαρμογή για την καταπολέμηση του κακόβουλου λογισμικού.

Σε κάθε περίπτωση, οι χρήστες ηλεκτρονικών υπολογιστών θα πρέπει να δίνουν προσοχή όταν ανοίγουν μηνύματα ηλεκτρονικού ταχυδρομείου με συνημμένα, συγκεκριμένα εκείνα που περιέχουν συνημμένα με τη μορφή εγγράφων του Microsoft Word, η οποία είναι γνωστή ως μέθοδος που χρησιμοποιεί η Emotet για την εξάπλωση κακόβουλου λογισμικού.

Η επιστροφή του Emotet

Σε ένα σημείο το 2019, οι εξυπηρετητές ελέγχου και ελέγχου του Emotet, όπου τα συστήματα παραμονής που έχουν μολυνθεί από την απειλή είναι ελεύθερα να βρίσκονται υπό τον έλεγχο των δραστών πίσω από τον Emotet. Ωστόσο, όχι πολύ σύντομα μετά το κλείσιμο των εξυπηρετητών C & C, ο Emotet επέστρεψε από τους νεκρούς, όπου οι χάκερ όχι μόνο απέκτησαν τον έλεγχο του Emotet, αλλά χρησιμοποιούν νόμιμους ιστότοπους για να διαδώσουν την απειλή μέσω καμπάνιας ανεπιθύμητης αλληλογραφίας, αρχικά χάκερ.

Οι προγραμματιστές της Emotet έχουν στοχεύσει περίπου 66.000 διευθύνσεις ηλεκτρονικού ταχυδρομείου για περισσότερα από 30.000 ονόματα τομέα, πολλοί από τους οποίους ανήκουν σε νόμιμους ιστότοπους που έχουν καταστρατηγηθεί. Ορισμένες από τις νόμιμες τοποθεσίες που επιτέθηκαν από τους δημιουργούς του Emotet είναι οι εξής:

• biyunhui [.] com
• broadpeakdefense [.] com
• charosjewellery [.] co.uk
• customernoble [.] com
• holyurbanhotel [.] com
• keikomimura [.] com
• lecairtravels [.] com
• mutlukadinlarakademisi [.] com
• nautcoins [.] com
• taxolabs [.] com
• think1 [.] com

Βασικά, θα δούμε μια αύξηση των μολύνσεων από κακόβουλο λογισμικό τόσο σίγουρο όσο ο χρόνος εξελίσσεται. Όπως επεσήμαναν οι ερευνητές της Cisco Talos: "Όταν μια ομάδα απειλών σιωπά, είναι απίθανο να φύγουν για πάντα", εξηγεί: "Μάλλον αυτό ανοίγει την ευκαιρία για μια ομάδα απειλών να επιστρέψει με νέες ΔΟΕ, τακτικές, τεχνικές και διαδικασίες ή νέες παραλλαγές κακόβουλου λογισμικού που μπορούν να αποφύγουν την υπάρχουσα ανίχνευση. "

Το SpyHunter εντοπίζει και αφαιρεί το Emotet

Emotet Στιγμιότυπα οθόνης