Emotet-botnettet kommer tilbake til livet

Et av de største botnettene ble forstyrret og stengt i en internasjonal rettshåndhevelsesoperasjon som fant sted tidlig i 2021. Nå, mer enn ett år senere, viser det samme botnettet tegn til liv igjen, og det ser ut til at det har vokst noe nye horn og pigger i den tiden den lå i dvale. Det aktuelle botnettverket er det beryktede Emotet-botnettverket – et nett av kompromitterte enheter som brukes til forskjellige ondsinnede formål.

Hva er Emotet?

Et botnett kan brukes til en rekke ondsinnede oppgaver av parten som kontrollerer de kompromitterte enhetene eller "botene". Når det gjelder Emotet, ble nettverket brukt til å spre skadelig programvare og roboter ble leid ut til andre ondsinnede parter, i likhet med løsepengevare-som-en-tjeneste-modellen, og solgte kun tilgang til den kompromitterte enhetsinfrastrukturen.

Nå har et forskningsteam med sikkerhetsfirmaet Proofpoint identifisert "lavvolum Emotet-aktivitet", og beskriver den som "drastisk" forskjellig fra den vanlige måten Emotet-botnettet ble operert på.

Emotet distribueres nå ved hjelp av e-postkampanjer. E-postadressene som de ondsinnede meldingene stammer fra ser ut til å være kompromittert, ifølge forskere, fordi Emotet spam-modulen ikke ble brukt til å presse dem ut til mottakerne.

Ny ondsinnet e-postkampanje sprer Emotet

E-postene var enkle i strukturen – emnestrenger på ett ord, for eksempel «Lønn». Dette er et enkelt, men effektivt triks for å vekke offerets oppmerksomhet og få brukeren til å klikke seg gjennom det som er i e-posten. I dette tilfellet inneholder e-postene bare en enkelt lenke til OneDrive.

OneDrive-lenkene peker til MS Excel XLL-filer, plassert i et zip-arkiv. Arkivfilene og Excel-dokumentet i dem er alle navngitt på samme måte som emnet for e-posten. I eksemplet gitt av Proofpoint, ble arkivet kalt "Salary_new.zip" og Excel-filen i det - "Salary_and_bonuses-04.01.2022.xll".

Når brukeren pakker ut Excel-filen og prøver å åpne den, blir Emotet droppet og distribuert.

Gitt lavvolumskarakteren til kampanjen, i motsetning til den vanlige aggressive spamtilnærmingen med høyt volum brukt av Emotet tidligere, mener forskere at skadevareoperatørene tester ut nye tilnærminger og teknikker og tester nye måter å unngå automatisert oppdagelse på.