Emotet Botnet กลับมามีชีวิตอีกครั้ง

หนึ่งในบ็อตเน็ตที่ใหญ่ที่สุดหยุดชะงักและปิดตัวลงในการดำเนินการบังคับใช้กฎหมายระหว่างประเทศที่เกิดขึ้นเมื่อต้นปี 2564 ตอนนี้มากกว่าหนึ่งปีต่อมา บ็อตเน็ตเดียวกันก็แสดงสัญญาณของชีวิตอีกครั้ง และดูเหมือนว่าจะเติบโตขึ้นบ้าง เขาและหนามใหม่ในเวลาที่มันอยู่เฉยๆ บ็อตเน็ต ที่เป็นปัญหาคือเครือข่ายบอท Emotet ที่น่าอับอาย - เว็บของอุปกรณ์ที่ถูกบุกรุกซึ่งใช้เพื่อวัตถุประสงค์ที่เป็นอันตรายที่แตกต่างกัน

Emotet คืออะไร?

บอทเน็ตสามารถใช้กับงานที่เป็นอันตรายได้หลายอย่างโดยบุคคลที่ควบคุมอุปกรณ์ที่ถูกบุกรุกหรือ "บ็อต" ในกรณีของ Emotet เครือข่ายถูกใช้เพื่อแพร่กระจายมัลแวร์ และบอทถูกให้เช่าแก่ผู้ประสงค์ร้ายรายอื่น คล้ายกับโมเดลแรนซัมแวร์ในฐานะบริการ โดยขายเฉพาะการเข้าถึงโครงสร้างพื้นฐานของอุปกรณ์ที่ถูกบุกรุกเท่านั้น

ตอนนี้ ทีมวิจัยของ Proofpoint บริษัทรักษาความปลอดภัยได้ระบุ "กิจกรรม Emotet ที่มีปริมาณน้อย" โดยอธิบายว่า "แตกต่างอย่างมาก" จากวิธีปกติของ บ็อตเน็ต Emotet

ขณะนี้ Emotet กำลังแจกจ่ายโดยใช้แคมเปญอีเมล นักวิจัยระบุว่าที่อยู่อีเมลที่ข้อความที่เป็นอันตรายมีต้นกำเนิดมาจากการถูกบุกรุก เนื่องจากโมดูลสแปม Emotet ไม่ได้ใช้เพื่อส่งไปยังผู้รับ

แคมเปญอีเมลมุ่งร้ายใหม่แพร่กระจาย Emotet

อีเมลมีโครงสร้างที่เรียบง่าย - สตริงหัวเรื่องที่มีคำเดียว เช่น "เงินเดือน" นี่เป็นเคล็ดลับง่ายๆ แต่ได้ผลเพื่อกระตุ้นความสนใจของเหยื่อ และให้ผู้ใช้คลิกผ่านสิ่งที่อยู่ในอีเมล ในกรณีนี้ อีเมลมีเพียงลิงก์เดียวไปยัง OneDrive

ลิงก์ OneDrive ชี้ไปที่ไฟล์ MS Excel XLL ซึ่งอยู่ในไฟล์ zip ไฟล์เก็บถาวรและเอกสาร Excel ที่อยู่ในนั้นล้วนมีชื่อเหมือนกับหัวเรื่องของเมล ในตัวอย่างที่ Proofpoint จัดเตรียมไว้ให้ ไฟล์เก็บถาวรมีชื่อว่า "Salary_new.zip" และไฟล์ Excel ที่อยู่ภายใน - "Salary_and_bonuses-04.01.2022.xll"

เมื่อผู้ใช้แตกไฟล์ Excel และพยายามเปิดไฟล์ Emotet จะถูกลบและปรับใช้

เนื่องจากลักษณะของแคมเปญมีปริมาณน้อย ซึ่งแตกต่างจากวิธีการสแปมเชิงรุกที่มีปริมาณมากตามปกติที่ใช้โดย Emotet ก่อนหน้านี้ นักวิจัยเชื่อว่าผู้ดำเนินการมัลแวร์กำลังทดสอบวิธีการและเทคนิคใหม่ๆ และกำลังทดสอบวิธีการใหม่เพื่อหลีกเลี่ยงการตรวจจับอัตโนมัติ