Ботнет Emotet возвращается к жизни

Один из крупнейших ботнетов был остановлен и остановлен в ходе международной правоохранительной операции, проведенной в начале 2021 года. Теперь, спустя более года, тот же ботнет снова подает признаки жизни, и кажется, что он несколько вырос. новые рога и шипы, пока он бездействовал. Речь идет о печально известной бот -сети Emotet — паутине скомпрометированных устройств, используемых для различных злонамеренных целей.

Что такое Эмотет?

Ботнет может использоваться для ряда вредоносных задач стороной, контролирующей скомпрометированные устройства или «ботов». В случае с Emotet сеть использовалась для распространения вредоносного ПО, а боты сдавались в аренду другим злоумышленникам, как и в случае с программой-вымогателем как услугой, только продавая доступ к инфраструктуре скомпрометированного устройства.

Теперь исследовательская группа совместно с охранной фирмой Proofpoint выявила «небольшую активность Emotet», описав ее как «резко» отличающуюся от обычного способа работы ботнета Emotet .

Emotet теперь распространяется с помощью кампаний по электронной почте. По мнению исследователей, адреса электронной почты, с которых исходят вредоносные сообщения, скомпрометированы, потому что спам-модуль Emotet не использовался для их рассылки получателям.

Новая вредоносная кампания по электронной почте распространяет Emotet

Электронные письма были просты по структуре — строки темы из одного слова, такие как «Зарплата». Это простой, но эффективный способ привлечь внимание жертвы и заставить пользователя просмотреть все, что содержится в электронном письме. В этом случае электронные письма содержат только одну ссылку на OneDrive.

Ссылки OneDrive указывают на файлы MS Excel XLL, помещенные в zip-архив. Архивные файлы и содержащиеся в них документы Excel имеют имена, аналогичные теме письма. В примере, предоставленном Proofpoint, архив назывался «Salary_new.zip», а файл Excel внутри него — «Salary_and_bonuses-04.01.2022.xll».

Как только пользователь извлекает файл Excel и пытается открыть его, Emotet удаляется и развертывается.

Учитывая небольшой характер кампании, в отличие от обычного агрессивного подхода к рассылке большого объема спама, который ранее использовался Emotet, исследователи полагают, что операторы вредоносного ПО тестируют новые подходы и методы и тестируют новые способы избежать автоматического обнаружения.