Botnet Emotet Hidup Kembali

Salah satu botnet terbesar telah terganggu dan ditutup dalam operasi penguatkuasaan undang-undang antarabangsa yang berlaku pada awal 2021. Kini, lebih setahun kemudian, botnet yang sama menunjukkan tanda kehidupan sekali lagi, dan nampaknya ia telah berkembang beberapa tanduk dan duri baru pada masa ia tidak aktif. Botnet yang dimaksudkan ialah rangkaian bot Emotet yang terkenal - web peranti yang dikompromi yang digunakan untuk tujuan jahat yang berbeza.

Apa itu Emotet?

Botnet boleh digunakan untuk beberapa tugas berniat jahat oleh pihak yang mengawal peranti atau "bot" yang terjejas. Dalam kes Emotet, rangkaian telah digunakan untuk menyebarkan perisian hasad dan bot telah disewakan kepada pihak berniat jahat yang lain, serupa dengan model perisian tebusan sebagai perkhidmatan, hanya menjual akses kepada infrastruktur peranti yang terjejas.

Kini, pasukan penyelidik dengan firma keselamatan Proofpoint telah mengenal pasti "aktiviti Emotet volum rendah", menggambarkannya sebagai "secara drastik" berbeza daripada cara biasa botnet Emotet dikendalikan .

Emotet kini diedarkan menggunakan kempen e-mel. Alamat e-mel yang berasal dari mesej berniat jahat nampaknya terjejas, menurut penyelidik, kerana modul spam Emotet tidak digunakan untuk menolaknya kepada penerima.

Kempen e-mel berniat jahat baharu menyebarkan Emotet

E-mel itu ringkas dalam struktur - rentetan subjek satu perkataan, seperti "Gaji". Ini adalah helah yang mudah tetapi berkesan untuk menarik perhatian mangsa dan membuat pengguna mengklik apa sahaja yang terkandung dalam e-mel. Dalam kes ini, e-mel mengandungi hanya satu pautan ke OneDrive.

Pautan OneDrive menghala ke fail MS Excel XLL, diletakkan dalam arkib zip. Fail arkib dan dokumen Excel yang terkandung di dalamnya semuanya dinamakan sama dengan subjek mel. Dalam contoh yang disediakan oleh Proofpoint, arkib itu dinamakan "Salary_new.zip" dan fail Excel di dalamnya - "Salary_and_bonuses-04.01.2022.xll".

Sebaik sahaja pengguna mengekstrak fail Excel dan cuba membukanya, Emotet digugurkan dan digunakan.

Memandangkan sifat kempen volum rendah, berbeza dengan pendekatan spam agresif volum tinggi biasa yang digunakan oleh Emotet sebelum ini, penyelidik percaya pengendali perisian hasad sedang menguji pendekatan dan teknik baharu dan sedang menguji cara baharu untuk mengelakkan pengesanan automatik.