Emotet robottīkls atdzīvojas

Viens no lielākajiem robottīkliem tika traucēts un slēgts starptautiskā tiesībaizsardzības operācijā, kas notika 2021. gada sākumā. Tagad, vairāk nekā gadu vēlāk, tas pats robottīkls atkal rāda dzīvības pazīmes, un šķiet, ka tas ir nedaudz pieaudzis. jauni ragi un muguriņas laikā, kad tas gulēja snaudā. Attiecīgais robottīkls ir bēdīgi slavenais Emotet robotu tīkls — uzlauztu ierīču tīkls, ko izmanto dažādiem ļaunprātīgiem mērķiem.

Kas ir Emotet?

Puse, kas kontrolē uzlauztās ierīces vai "robotus", robottīklu var izmantot vairākiem ļaunprātīgiem uzdevumiem. Emotet gadījumā tīkls tika izmantots ļaunprātīgas programmatūras izplatīšanai, un robotprogrammatūra tika iznomāta citām ļaunprātīgām pusēm, līdzīgi kā ransomware-as-a-service modelim, pārdodot tikai piekļuvi apdraudētajai ierīču infrastruktūrai.

Tagad izpētes grupa ar drošības firmu Proofpoint ir identificējusi "maza apjoma Emotet darbību", raksturojot to kā "krasi" atšķirīgu no Emotet robottīkla parastā darbības veida.

Emotet tagad tiek izplatīts, izmantojot e-pasta kampaņas. Pēc pētnieku domām, šķiet, ka e-pasta adreses, no kurām nāk ļaunprātīgie ziņojumi, ir apdraudētas, jo Emotet surogātpasta modulis netika izmantots, lai tos nosūtītu adresātiem.

Emotet izplatās jauna ļaunprātīga e-pasta kampaņa

E-pastiem bija vienkārša struktūra – viena vārda tēmas virknes, piemēram, "Alga". Šis ir vienkāršs, bet efektīvs triks, lai piesaistītu upura uzmanību un liktu lietotājam noklikšķināt uz visu e-pastā ietverto. Šajā gadījumā e-pastā ir tikai viena saite uz OneDrive.

OneDrive saites norāda uz MS Excel XLL failiem, kas ievietoti zip arhīvā. Tajos esošie arhīva faili un Excel dokuments ir nosaukti līdzīgi pasta tēmai. Proofpoint sniegtajā piemērā arhīva nosaukums bija "Alga_jauns.zip" un tajā esošais Excel fails - "Alga_un_prēmijas-04.01.2022.xll".

Kad lietotājs izvelk Excel failu un mēģina to atvērt, Emotet tiek noņemts un izvietots.

Ņemot vērā kampaņas mazo apjomu, pretstatā parastajai liela apjoma agresīvā surogātpasta pieejai, ko Emotet izmantoja iepriekš, pētnieki uzskata, ka ļaunprātīgas programmatūras operatori izmēģina jaunas pieejas un metodes un testē jaunus veidus, kā izvairīties no automātiskas noteikšanas.