Botnet Emotet powraca do życia

Jeden z największych botnetów został przerwany i zamknięty w międzynarodowej operacji organów ścigania, która miała miejsce na początku 2021 r. Teraz, ponad rok później, ten sam botnet znów wykazuje oznaki życia i wydaje się, że jego liczba się rozrosła. nowe rogi i kolce w czasie, gdy leżał uśpiony. Omawiany botnet to niesławna sieć botów Emotet — sieć zhakowanych urządzeń wykorzystywanych do różnych złośliwych celów.

Co to jest Emotet?

Botnet może być wykorzystywany do wielu złośliwych zadań przez stronę kontrolującą zaatakowane urządzenia lub „boty”. W przypadku Emotet sieć była wykorzystywana do rozprzestrzeniania złośliwego oprogramowania, a boty były wynajmowane innym złośliwym stronom, podobnie jak w modelu ransomware jako usługa, sprzedając jedynie dostęp do zaatakowanej infrastruktury urządzenia.

Teraz zespół badawczy z firmą Proofpoint zajmującą się bezpieczeństwem zidentyfikował „niską aktywność Emotetu”, opisując ją jako „drastycznie” różną od zwykłego sposobu działania botnetu Emotet.

Emotet jest teraz dystrybuowany za pomocą kampanii e-mailowych. Według badaczy adresy e-mail, z których pochodzą złośliwe wiadomości, wydają się być zagrożone, ponieważ moduł spamu Emotet nie został wykorzystany do rozsyłania ich do odbiorców.

Nowa złośliwa kampania e-mailowa rozprzestrzenia się Emotet

E-maile miały prostą strukturę - jednowyrazowe ciągi tematyczne, takie jak „Wynagrodzenie”. Jest to prosta, ale skuteczna sztuczka, która ma przyciągnąć uwagę ofiary i sprawić, by użytkownik kliknął wszystko, co jest zawarte w wiadomości e-mail. W takim przypadku e-maile zawierają tylko jedno łącze do OneDrive.

Linki OneDrive prowadzą do plików MS Excel XLL, umieszczonych w archiwum zip. Zawarte w nich pliki archiwum i dokument Excela są nazwane podobnie do tematu wiadomości. W przykładzie dostarczonym przez Proofpoint archiwum nosiło nazwę „Salary_new.zip”, a znajdujący się w nim plik Excel – „Salary_and_bonuses-04.01.2022.xll”.

Gdy użytkownik rozpakuje plik Excela i spróbuje go otworzyć, Emotet jest upuszczany i wdrażany.

Biorąc pod uwagę niski charakter kampanii, w przeciwieństwie do zwykłego, masowego podejścia do agresywnego spamu stosowanego wcześniej przez Emotet, badacze uważają, że operatorzy szkodliwego oprogramowania testują nowe podejścia i techniki oraz testują nowe sposoby unikania automatycznego wykrywania.