Giấy phép nhiều thiết bị (Giảm giá theo số lượng)
Computer Security Botnet Emotet trở lại hoạt động

Botnet Emotet trở lại hoạt động

Đến năm Mura năm Computer Security
Dịch sang:
Tiếng Việt Nam

Một trong những mạng botnet lớn nhất đã bị gián đoạn và đóng cửa trong một hoạt động thực thi pháp luật quốc tế diễn ra vào đầu năm 2021. Bây giờ, hơn một năm sau, cùng một mạng botnet đang có dấu hiệu sống lại một lần nữa và có vẻ như nó đã phát triển một số sừng và gai mới trong thời gian nó nằm im. Mạng botnet được đề cập là mạng bot Emotet khét tiếng - một web chứa các thiết bị bị xâm nhập được sử dụng cho các mục đích độc hại khác nhau.

Emotet là gì?

Một mạng botnet có thể được sử dụng cho một số nhiệm vụ độc hại bởi bên kiểm soát các thiết bị hoặc "bot" bị xâm phạm. Trong trường hợp của Emotet, mạng được sử dụng để phát tán phần mềm độc hại và các bot đã được cho các bên độc hại khác thuê lại, tương tự như mô hình ransomware-as-a-service, chỉ bán quyền truy cập vào cơ sở hạ tầng thiết bị bị xâm phạm.

Bây giờ, một nhóm nghiên cứu với công ty bảo mật Proofpoint đã xác định "hoạt động Emotet khối lượng thấp", mô tả nó là "khác biệt đáng kể" so với cách hoạt động thông thường của mạng botnet Emotet .

Emotet hiện đang được phân phối bằng các chiến dịch email. Theo các nhà nghiên cứu, các địa chỉ email mà các thư độc hại bắt nguồn dường như đã bị xâm nhập, bởi vì mô-đun thư rác Emotet không được sử dụng để đẩy chúng ra cho người nhận.

Chiến dịch email độc hại mới phát tán Emotet

Các email có cấu trúc đơn giản - chuỗi chủ đề một từ, chẳng hạn như "Lương". Đây là một thủ thuật đơn giản nhưng hiệu quả để thu hút sự chú ý của nạn nhân và khiến người dùng nhấp qua bất cứ thứ gì có trong email. Trong trường hợp này, các email chỉ chứa một liên kết đến OneDrive.

Các liên kết OneDrive trỏ đến các tệp MS Excel XLL, được đặt trong một kho lưu trữ zip. Các tệp lưu trữ và tài liệu Excel có trong chúng đều được đặt tên tương tự như chủ đề của thư. Trong ví dụ do Proofpoint cung cấp, tệp lưu trữ được đặt tên là "Salary_new.zip" và tệp Excel bên trong nó - "Salary_and_bonuses-04.01.2022.xll".

Sau khi người dùng trích xuất tệp Excel và cố gắng mở nó, Emotet sẽ bị loại bỏ và triển khai.

Do tính chất khối lượng thấp của chiến dịch, trái ngược với cách tiếp cận spam tích cực khối lượng lớn thông thường được Emotet sử dụng trước đây, các nhà nghiên cứu tin rằng các nhà khai thác phần mềm độc hại đang thử nghiệm các phương pháp và kỹ thuật mới và đang thử nghiệm các cách mới để tránh bị phát hiện tự động.

Đang tải...