Emoteti robotvõrk ärkab ellu
Üks suurimaid botnette katkes ja suleti 2021. aasta alguses toimunud rahvusvahelises õiguskaitseoperatsioonis. Nüüd, enam kui aasta hiljem, näitab sama botnet taas elumärke ja tundub, et see on veidi kasvanud. uued sarved ja ogad sel ajal, kui see uinunud oli. Kõnealune botnet on kurikuulus Emoteti robotivõrk – erinevatel pahatahtlikel eesmärkidel kasutatavate ohustatud seadmete võrk.
Mis on Emotet?
Ohustatud seadmeid või "botte" kontrolliv osapool võib robotvõrku kasutada mitmete pahatahtlike toimingute jaoks. Emoteti puhul kasutati võrku pahavara levitamiseks ning sarnaselt lunavara-teenusena mudelile renditi roboteid teistele pahatahtlikele osapooltele välja, müües vaid juurdepääsu ohustatud seadme infrastruktuurile.
Nüüd on turvafirma Proofpointi uurimisrühm tuvastanud "madalamahulise Emoteti tegevuse", kirjeldades seda kui "drastiliselt" erinevat Emoteti robotvõrgu tavapärasest kasutamisest.
Emoteti levitatakse nüüd meilikampaaniate abil. Teadlaste sõnul näivad e-posti aadressid, millelt pahatahtlikud sõnumid pärinevad, olevat ohustatud, kuna Emoteti rämpsposti moodulit ei kasutatud nende adressaatideni väljasaatmiseks.
Emoteti levib uus pahatahtlik meilikampaania
Meilid olid ülesehituselt lihtsad – ühesõnalised teemajadad, näiteks "Palk". See on lihtne, kuid tõhus nipp ohvri tähelepanu äratamiseks ja kasutajal e-kirjas sisalduval klõpsamiseks. Sel juhul sisaldavad meilid vaid üht linki OneDrive’i.
OneDrive'i lingid osutavad MS Exceli XLL-failidele, mis on paigutatud ZIP-arhiivi. Neis sisalduvad arhiivifailid ja Exceli dokument on kõik nimetatud kirja teemaga sarnaselt. Proofpointi toodud näites kandis arhiiv nime "Palk_uus.zip" ja selle sees olev Exceli fail - "Palk_ja_boonused-04.01.2022.xll".
Kui kasutaja ekstraktib Exceli faili ja proovib seda avada, eemaldatakse Emotet ja see võetakse kasutusele.
Arvestades kampaania väikesemahulist olemust, erinevalt Emoteti varem kasutatud tavapärasest suuremahulisest agressiivsest rämpspostist, usuvad teadlased, et pahavara operaatorid katsetavad uusi lähenemisviise ja tehnikaid ning katsetavad uusi viise automaatse tuvastamise vältimiseks.