Емотет ботнет се враћа у живот

Један од највећих ботнет-а је прекинут и угашен у међународној операцији спровођења закона која се одиграла почетком 2021. Сада, више од годину дана касније, исти ботнет поново показује знаке живота, и чини се да је мало порастао. нове рогове и кичме у време док је лежао успавано. У питању је ботнет злогласна Емотет бот мрежа - мрежа компромитованих уређаја који се користе у различите злонамерне сврхе.

Шта је Емотет?

Ботнет може да се користи за бројне злонамерне задатке од стране стране која контролише компромитоване уређаје или „ботове“. У случају Емотета, мрежа је коришћена за ширење малвера, а ботови су изнајмљени другим злонамерним странама, слично моделу рансомваре-ас-а-сервице, само продајући приступ угроженој инфраструктури уређаја.

Сада је истраживачки тим са безбедносном фирмом Проофпоинт идентификовао „мали обим Емотет активности“, описујући је као „драстично“ различиту од уобичајеног начина на који је функционисао Емотет ботнет .

Емотет се сада дистрибуира помоћу кампања е-поште. Е-маил адресе са којих потичу злонамерне поруке изгледа да су компромитоване, према истраживачима, јер Емотет модул за нежељену пошту није коришћен да их прослеђује примаоцима.

Нова злонамерна кампања е-поште шири Емотет

Имејлови су били једноставне структуре - низови предмета од једне речи, као што је "Плата". Ово је једноставан, али ефикасан трик да привучете пажњу жртве и наведете корисника да кликне на све што се налази у е-поруци. У овом случају, е-поруке садрже само једну везу до ОнеДриве-а.

ОнеДриве везе указују на МС Екцел КСЛЛ датотеке, смештене у зип архиву. Све архивске датотеке и Екцел документ који се налазе у њима имају сличан назив као предмет поште. У примеру који је пружио Проофпоинт, архива је названа „Салари_нев.зип“, а Екцел датотека унутар ње – „Салари_анд_бонусес-04.01.2022.клл“.

Када корисник извуче Екцел датотеку и покуша да је отвори, Емотет се испушта и примењује.

С обзиром на карактер кампање малог обима, за разлику од уобичајеног приступа агресивног нежељеног садржаја великог обима који је раније користио Емотет, истраживачи верују да оператери малвера тестирају нове приступе и технике и тестирају нове начине да избегну аутоматизовано откривање.