Az Emotet Botnet újra életre kel
Az egyik legnagyobb botnet megszakadt és leállt egy 2021 elején lezajlott nemzetközi bűnüldözési műveletben. Most, több mint egy évvel később ugyanaz a botnet ismét életjeleket mutat, és úgy tűnik, hogy nőtt. új szarvak és tüskék abban az időben, amikor szunnyadt. A szóban forgó botnet a hírhedt Emotet bothálózat – különböző rosszindulatú célokra használt, kompromittált eszközök hálója.
Mi az az Emotet?
A botnetet számos rosszindulatú feladatra használhatja a feltört eszközöket vagy „botokat” vezérlő fél. Az Emotet esetében a hálózatot rosszindulatú programok terjesztésére használták, és a botokat bérbe adták más rosszindulatú feleknek, hasonlóan a ransomware-as-a-service modellhez, csak a kompromittált eszközinfrastruktúrához való hozzáférést értékesítették.
A Proofpoint biztonsági céggel közös kutatócsoport most "alacsony volumenű Emotet-tevékenységet" azonosított, és leírja, hogy ez "drasztikusan" különbözik az Emotet botnet szokásos működési módjától.
Az Emotet terjesztése most e-mail kampányok segítségével történik. A kutatók szerint az e-mail-címek, amelyekről a rosszindulatú üzenetek származnak, feltörtnek tűnnek, mivel az Emotet spammodult nem használták arra, hogy elküldjék a címzettekhez.
Új rosszindulatú e-mail kampány terjeszti az Emotetet
Az e-mailek felépítése egyszerű volt – egyszavas tárgysorok, például „Fizetés”. Ez egy egyszerű, de hatékony trükk az áldozatok figyelmének felkeltésére, és rábírja a felhasználót, hogy az e-mailben található tartalmakra kattintson. Ebben az esetben az e-mailek csak egyetlen hivatkozást tartalmaznak a OneDrive-ra.
A OneDrive hivatkozások MS Excel XLL-fájlokra mutatnak, amelyek egy zip-archívumban vannak elhelyezve. A bennük található archív fájlok és Excel-dokumentumok a levél tárgyához hasonlóan vannak elnevezve. A Proofpoint által szolgáltatott példában az archívum neve „Fizetési_új.zip”, a benne lévő Excel-fájl pedig „Béres_és_bónuszok-04.01.2022.xll”.
Miután a felhasználó kicsomagolja az Excel-fájlt, és megpróbálja megnyitni, az Emotet eldobja és üzembe helyezi.
Tekintettel a kampány csekély volumenére, szemben az Emotet által korábban alkalmazott, nagy volumenű agresszív spam-megközelítéssel, a kutatók úgy vélik, hogy a rosszindulatú programok üzemeltetői új megközelítéseket és technikákat tesztelnek, és új módszereket tesztelnek az automatizált észlelés elkerülésére.