Botnet Emotet se vrača v življenje

Eden največjih botnetov je bil moten in zaprt v operaciji mednarodnega pregona, ki se je zgodila v začetku leta 2021. Zdaj, več kot leto pozneje, isti botnet znova kaže znake življenja in zdi se, da se je nekoliko povečal nove rogove in bodice v času, ko je ležala v mirovanju. Zadevni botnet je zloglasno omrežje botov Emotet - splet ogroženih naprav, ki se uporabljajo za različne zlonamerne namene.

Kaj je Emotet?

Stranka, ki nadzoruje ogrožene naprave ali "bote", bi lahko uporabila botnet za številna zlonamerna opravila. V primeru Emoteta je bilo omrežje uporabljeno za širjenje zlonamerne programske opreme, boti pa so bili oddani v najem drugim zlonamernim strankam, podobno kot model ransomware-as-a-service, pri čemer so prodajali le dostop do ogrožene infrastrukture naprav.

Zdaj je raziskovalna skupina z varnostnim podjetjem Proofpoint ugotovila "majhno količino dejavnosti Emotet" in jo opisala kot "drastično" drugačno od običajnega načina delovanja botneta Emotet.

Emotet se zdaj distribuira z e-poštnimi kampanjami. Zdi se, da so e-poštni naslovi, s katerih izvirajo zlonamerna sporočila, po mnenju raziskovalcev ogroženi, ker modul za neželeno pošto Emotet ni bil uporabljen za njihovo posredovanje prejemnikom.

Nova zlonamerna e-poštna kampanja širi Emotet

E-poštna sporočila so bila enostavne strukture - enobesedni nizi predmetov, kot je "Plača". To je preprost, a učinkovit trik, da pritegnete pozornost žrtve in uporabnika spodbudite, da klikne vse, kar je v e-pošti. V tem primeru e-poštna sporočila vsebujejo samo eno povezavo do OneDrive.

Povezave OneDrive kažejo na datoteke MS Excel XLL, nameščene v zip arhiv. Arhivske datoteke in Excelov dokument, ki jih vsebujejo, so poimenovani podobno kot zadeva e-pošte. V primeru, ki ga je zagotovil Proofpoint, je bil arhiv poimenovan »Salary_new.zip« in datoteka Excel v njem – »Salary_and_bonuses-04.01.2022.xll«.

Ko uporabnik izvleče datoteko Excel in jo poskuša odpreti, se Emotet izpusti in razmesti.

Glede na majhno količino kampanje, v nasprotju z običajnim pristopom agresivne neželene pošte z veliko količino, ki ga je prej uporabljal Emotet, raziskovalci verjamejo, da operaterji zlonamerne programske opreme preizkušajo nove pristope in tehnike ter preizkušajo nove načine za preprečevanje avtomatiziranega odkrivanja.