Ботнет Emotet повертається до життя

Один з найбільших бот-мереж було порушено та закрито в ході міжнародної правоохоронної операції, яка відбулася на початку 2021 року. Тепер, більше ніж через рік, той самий ботнет знову подає ознаки життя, і, схоже, він трохи зріс. нові роги та шипи в той час, коли він лежав бездіяльно. Ботнет , про який йде мова, є сумнозвісною мережею ботів Emotet - мережею скомпрометованих пристроїв, які використовуються для різних шкідливих цілей.

Що таке Emotet?

Ботнет може використовуватися для ряду шкідливих завдань стороною, яка контролює зламані пристрої або «боти». У випадку з Emotet мережу використовували для поширення шкідливого програмного забезпечення, а ботів здавали в оренду іншим зловмисникам, подібно до моделі програм-вимагачів як послуги, продаючи лише доступ до скомпрометованої інфраструктури пристроїв.

Тепер дослідницька група з охоронної фірми Proofpoint визначила «маломасштабну діяльність Emotet», описуючи її як «різко відмінну від звичайного способу роботи ботнету Emotet» .

Зараз Emotet поширюється за допомогою електронних кампаній. На думку дослідників, адреси електронної пошти, з яких надходять шкідливі повідомлення, були скомпрометовані, оскільки спам-модуль Emotet не використовувався для надсилання їх одержувачам.

Нова шкідлива електронна кампанія поширює Emotet

Листи були прості за структурою — однослівні рядки теми, наприклад «Зарплата». Це простий, але ефективний трюк, щоб привернути увагу жертви та змусити користувача клацнути все, що міститься в електронному листі. У цьому випадку листи містять лише одне посилання на OneDrive.

Посилання OneDrive вказують на файли MS Excel XLL, розміщені в zip-архіві. Архівні файли та документи Excel, що містяться в них, мають імена так само, як і тема листа. У прикладі, наданому Proofpoint, архів отримав назву «Salary_new.zip», а файл Excel всередині нього — «Salary_and_bonuses-04.01.2022.xll».

Після того, як користувач витягне файл Excel і спробує його відкрити, Emotet відкидається та розгортається.

Враховуючи невеликий характер кампанії, на відміну від звичайного підходу до поширення агресивного спаму, який використовувався раніше Emotet, дослідники вважають, що оператори шкідливих програм випробовують нові підходи та методи та тестують нові способи уникнути автоматичного виявлення.