ה-Emotet Botnet חוזר לחיים

אחת הבוטנטים הגדולים ביותר נפגעה ונסגרה במבצע אכיפת חוק בינלאומי שהתקיים בתחילת 2021. כעת, יותר משנה לאחר מכן, אותו בוטנט מראה שוב סימני חיים, ונראה כי הוא צמח קצת קרניים וקוצים חדשים בתקופה שבה שכב רדום. הבוטנט המדובר הוא רשת הבוט Emotet הידועה לשמצה - רשת של מכשירים שנפגעו המשמשים למטרות זדוניות שונות.

מה זה Emotet?

רשת בוט יכולה לשמש למספר משימות זדוניות על ידי הצד השולט במכשירים או ה"בוטים" שנפגעו. במקרה של Emotet, הרשת שימשה להפצת תוכנות זדוניות ובוטים הושכרו לגורמים זדוניים אחרים, בדומה למודל של תוכנת כופר כשירות, רק מכרו גישה לתשתית המכשירים שנפגעו.

כעת, צוות מחקר עם חברת האבטחה Proofpoint זיהה "פעילות Emotet בנפח נמוך", ותיאר אותה כשונה באופן "דרסטי" מהדרך הרגילה של הפעלת הבוטנט של Emotet .

Emotet מופץ כעת באמצעות קמפיינים באימייל. נראה כי כתובות האימייל שמהן מקורן ההודעות הזדוניות נפגעו, על פי החוקרים, מכיוון שמודול הספאם של Emotet לא שימש כדי לדחוף אותן החוצה לנמענים.

קמפיין דוא"ל זדוני חדש מפיץ את Emotet

המיילים היו פשוטים במבנה - מחרוזות נושא של מילה אחת, כמו "שכר". זהו טריק פשוט אך יעיל כדי לעורר את תשומת הלב של הקורבן ולגרום למשתמש ללחוץ על כל מה שמופיע בדוא"ל. במקרה זה, הודעות האימייל מכילות רק קישור בודד ל-OneDrive.

הקישורים של OneDrive מצביעים על קבצי MS Excel XLL, הממוקמים בארכיון zip. קובצי הארכיון ומסמך האקסל הכלולים בהם נקראים כולם בדומה לנושא הדואר. בדוגמה שסיפקה Proofpoint, הארכיון קיבל את השם "Salary_new.zip" וקובץ האקסל שבתוכו - "Salary_and_bonuses-04.01.2022.xll".

ברגע שהמשתמש מחלץ את קובץ האקסל ומנסה לפתוח אותו, Emotet נשמט ונפרס.

בהתחשב באופי הנמוך של הקמפיין, בניגוד לגישת הספאם האגרסיבית הרגילה בנפח גבוה ששימשה בעבר על ידי Emotet, החוקרים מאמינים שמפעילי תוכנות זדוניות בודקים גישות וטכניקות חדשות ובודקים דרכים חדשות להימנע מזיהוי אוטומטי.