بات نت Emotet به زندگی باز می گردد
یکی از بزرگترین بات نت ها در یک عملیات اجرای قانون بین المللی که در اوایل سال 2021 انجام شد، مختل شد و تعطیل شد. اکنون پس از گذشت بیش از یک سال، همان بات نت بار دیگر نشانه هایی از حیات را نشان می دهد و به نظر می رسد که تا حدودی رشد کرده است. شاخ و خارهای جدید در زمانی که خوابیده بود. بات نت مورد بحث، شبکه ربات بدنام Emotet است - شبکه ای از دستگاه های در معرض خطر که برای اهداف مخرب مختلف استفاده می شود.
Emotet چیست؟
یک بات نت می تواند برای تعدادی از وظایف مخرب توسط طرف کنترل کننده دستگاه ها یا "ربات ها" در معرض خطر استفاده شود. در مورد Emotet، از شبکه برای گسترش بدافزار استفاده شد و رباتها به دیگر طرفهای مخرب اجاره داده شدند، مشابه مدل باجافزار بهعنوان یک سرویس، که فقط دسترسی به زیرساخت دستگاه در معرض خطر را میفروشد.
اکنون، یک تیم تحقیقاتی با شرکت امنیتی Proofpoint، «فعالیت کم حجم Emotet» را شناسایی کرده و آن را «بهشدت» متفاوت از روش معمول باتنت Emotet توصیف میکند .
Emotet اکنون با استفاده از کمپین های ایمیلی توزیع می شود. به گفته محققان، آدرسهای ایمیلی که پیامهای مخرب از آنها سرچشمه میگیرند، در معرض خطر هستند، زیرا ماژول هرزنامه Emotet برای ارسال آنها به گیرندگان استفاده نشده است.
کمپین ایمیل مخرب جدید Emotet را پخش می کند
ساختار ایمیل ها ساده بود - رشته های موضوعی تک کلمه ای، مانند "حقوق". این یک ترفند ساده اما موثر برای جلب توجه قربانی و وادار کردن کاربر به کلیک بر روی هر چیزی است که در ایمیل موجود است. در این مورد، ایمیلها تنها حاوی یک لینک به OneDrive هستند.
پیوندهای OneDrive به فایلهای MS Excel XLL اشاره میکنند که در یک آرشیو فشرده قرار گرفتهاند. فایلهای بایگانی و سند اکسل موجود در آنها همگی مشابه موضوع نامه نامگذاری شدهاند. در مثال ارائه شده توسط Proofpoint، آرشیو با نام "Salary_new.zip" و فایل اکسل داخل آن - "Salary_and_bonuses-04.01.2022.xll" نامگذاری شده است.
هنگامی که کاربر فایل اکسل را استخراج می کند و سعی می کند آن را باز کند، Emotet حذف می شود و مستقر می شود.
با توجه به ماهیت کم حجم کمپین، برخلاف روش معمول اسپم تهاجمی با حجم بالا که قبلاً توسط Emotet استفاده می شد، محققان بر این باورند که اپراتورهای بدافزار در حال آزمایش رویکردها و تکنیک های جدید هستند و در حال آزمایش راه های جدیدی برای جلوگیری از شناسایی خودکار هستند.