Botnet Emotet sa vracia k životu
Jeden z najväčších botnetov bol prerušený a vypnutý v rámci medzinárodnej operácie presadzovania práva, ktorá sa uskutočnila začiatkom roku 2021. Teraz, po viac ako roku, ten istý botnet opäť vykazuje známky života a zdá sa, že sa o niečo rozrástol. nové rohy a tŕne v čase, keď ležal nečinný. Predmetný botnet je neslávne známa sieť botov Emotet – sieť napadnutých zariadení používaných na rôzne škodlivé účely.
Čo je Emotet?
Strana ovládajúca napadnuté zariadenia alebo „boty“ môže botnet použiť na množstvo škodlivých úloh. V prípade Emotet bola sieť použitá na šírenie malvéru a roboty boli prenajímané iným škodlivým stranám, podobne ako v modeli ransomware-as-a-service, pričom predávali iba prístup k ohrozenej infraštruktúre zariadení.
Teraz výskumný tím s bezpečnostnou firmou Proofpoint identifikoval „nízkoobjemovú aktivitu Emotet“ a opísal ju ako „drasticky“ odlišnú od bežného spôsobu prevádzkovania botnetu Emotet .
Emotet sa teraz distribuuje pomocou e-mailových kampaní. E-mailové adresy, z ktorých škodlivé správy pochádzajú, sa podľa výskumníkov zdajú byť kompromitované, pretože spamový modul Emotet nebol použitý na ich rozoslanie príjemcom.
Nová škodlivá e-mailová kampaň šíri Emotet
Štruktúra emailov bola jednoduchá – jednoslovné predmetové reťazce, napríklad „Plat“. Ide o jednoduchý, ale účinný trik, ako upútať pozornosť obete a prinútiť používateľa, aby klikol na čokoľvek, čo je v e-maile obsiahnuté. V tomto prípade e-maily obsahujú iba jeden odkaz na OneDrive.
Odkazy OneDrive smerujú na súbory MS Excel XLL umiestnené v archíve zip. Všetky archívne súbory a dokument Excel v nich obsiahnuté sú pomenované podobne ako predmet e-mailu. V príklade poskytnutom spoločnosťou Proofpoint bol archív nazvaný „Plat_nový.zip“ a súbor Excel v ňom – „Mzdy_a_bonusy-04.01.2022.xll“.
Keď používateľ extrahuje súbor Excel a pokúsi sa ho otvoriť, Emotet sa zruší a nasadí.
Vzhľadom na nízkoobjemovú povahu kampane, na rozdiel od zvyčajného vysokoobjemového agresívneho spamu, ktorý Emotet používal predtým, sa výskumníci domnievajú, že operátori malvéru testujú nové prístupy a techniky a testujú nové spôsoby, ako sa vyhnúť automatizovanej detekcii.