Botnet Emotet se vrača v življenje
Eden največjih botnetov je bil moten in zaprt v operaciji mednarodnega pregona, ki se je zgodila v začetku leta 2021. Zdaj, več kot leto pozneje, isti botnet znova kaže znake življenja in zdi se, da se je nekoliko povečal nove rogove in bodice v času, ko je ležala v mirovanju. Zadevni botnet je zloglasno omrežje botov Emotet - splet ogroženih naprav, ki se uporabljajo za različne zlonamerne namene.
Kaj je Emotet?
Stranka, ki nadzoruje ogrožene naprave ali "bote", bi lahko uporabila botnet za številna zlonamerna opravila. V primeru Emoteta je bilo omrežje uporabljeno za širjenje zlonamerne programske opreme, boti pa so bili oddani v najem drugim zlonamernim strankam, podobno kot model ransomware-as-a-service, pri čemer so prodajali le dostop do ogrožene infrastrukture naprav.
Zdaj je raziskovalna skupina z varnostnim podjetjem Proofpoint ugotovila "majhno količino dejavnosti Emotet" in jo opisala kot "drastično" drugačno od običajnega načina delovanja botneta Emotet.
Emotet se zdaj distribuira z e-poštnimi kampanjami. Zdi se, da so e-poštni naslovi, s katerih izvirajo zlonamerna sporočila, po mnenju raziskovalcev ogroženi, ker modul za neželeno pošto Emotet ni bil uporabljen za njihovo posredovanje prejemnikom.
Nova zlonamerna e-poštna kampanja širi Emotet
E-poštna sporočila so bila enostavne strukture - enobesedni nizi predmetov, kot je "Plača". To je preprost, a učinkovit trik, da pritegnete pozornost žrtve in uporabnika spodbudite, da klikne vse, kar je v e-pošti. V tem primeru e-poštna sporočila vsebujejo samo eno povezavo do OneDrive.
Povezave OneDrive kažejo na datoteke MS Excel XLL, nameščene v zip arhiv. Arhivske datoteke in Excelov dokument, ki jih vsebujejo, so poimenovani podobno kot zadeva e-pošte. V primeru, ki ga je zagotovil Proofpoint, je bil arhiv poimenovan »Salary_new.zip« in datoteka Excel v njem – »Salary_and_bonuses-04.01.2022.xll«.
Ko uporabnik izvleče datoteko Excel in jo poskuša odpreti, se Emotet izpusti in razmesti.
Glede na majhno količino kampanje, v nasprotju z običajnim pristopom agresivne neželene pošte z veliko količino, ki ga je prej uporabljal Emotet, raziskovalci verjamejo, da operaterji zlonamerne programske opreme preizkušajo nove pristope in tehnike ter preizkušajo nove načine za preprečevanje avtomatiziranega odkrivanja.