PCPress.rs Image
News 

Emotet kao lažni Adobe PDF softver

Milan Živković

Emotet se i dalje širi, a najnovija strategija uključuje maliciozne Windows App Installer pakete koji imitiraju Adobe PDF softver.

PCPress.rs Image

Emotet malver jedan je od onih koji su u prošlosti uspeli najviše da se rašire, te ugroze veliki broj korisnika. U kampanjama su pomogli spam mejlovi i maliciozni dodaci, a novi napadi još jednom potresaju internet univerzum.

U januaru 2019. godine sigurnosni istraživači iz celog sveta udružili su se u okviru projekta koji je bio posvećen deljenju URL-ova koji su korišćeni u distribuiranju malicioznih programa,  te su tom prilikom uklonili oko 100 hiljada sajtova za koje se utvrdilo da su bili deo ovakvih praksi.

U vrhu liste malvera koji se distribuiraju na ovaj način našao se Emotet, koji se obično širio preko mejlova koji su sadržali dokumente sa malicioznim linkovima. Maliciozna mreža je ponovo oživela u septembru 2019, i započela nove spam mejl kampanje. Phishing mejlovi su bili naoružani malicioznim fajlovima i linkovima koji su vodili do sajtova sa kojih se preuzimao malver. Zaraženi računari su postajali deo Emotet mreže botova, a malver je funkcionisao i kao downloader, pa su žrtve preko Emoteta preuzimale i druge maliciozne fajlove.

Pročitajte i:  1Password: Biometrijski ključ stiže na Android

Emotet je poznat po modulima koji preuzimaju lozinke za aplikacije, te po tome što se od jednog zaraženog računara širi i na sve ostale u okviru iste mreže, a kreatori mrežu botova koriste i kao Malware-as-a-Service (MaaS) preko kojeg svi zainteresovani cyber kriminalci mogu da plate za pristup računarima koji su deo mreže, i na njih otpreme i svoje lance malvera.

Mreža je nastavila da raste sve do početka 2021. godine, a potom su bezbednosni eksperti konačno uspeli da je savladaju. Udruženom akcijom su upravljali Europol i Eurojust, a okupila je eksperte iz Holandije, Nemačke, Sjedinjenih Američkih Država, Velike Britanije, Litvanije, Kanade i Ukrajine. Na kraju im je pošlo za rukom da preuzmu kontrolu nad serverima Emoteta, nakon čega je uklonjena celokupna infrastruktura mreže, koja se sastojala od nekoliko stotina servera raspoređenih širom sveta.

PCPress.rs Image

Činilo se da je Emotet priča u tom trenutku završena, ali skoro godinu dana kasnije malver ponovo napada. U tome mu pomaže TrickBot, koji je na ciljane uređaje već isporučio Emotet pakete. Napadči koriste metodu kojoj su nadenuli ime “Operation Reacharound“, pa je restauracija malver mreže već počela, a temelji su na postojećoj TrickBot infrastrukturi.

Pročitajte i:  Malver se širi preko lažnih oglasa za posao

Novembar je doneo nove probleme, budući da su napadači maliciozne pakete počeli da otpremaju uz pomoć ugrađene Windows 10 i Windows 11 funkcije po imenu App Installer. Nove kampanje počinju preko lanaca mejlova, pa se maliciozne poruke priključuju već postojećim razgovorima. U poruci stoji i “Please see attached“, te linka za PDF koji navodno sadrži odgovore na ono o čemu se u prepisci raspravlja. Link vodi do lažne Google Drive stranice, na kojoj je i preview taster za PDF dokument. Dugme je zapravo ms-appinstaller URL koji stimuliše pokretanje Windows App Installer-a.

Maliciozni paketi izgledaju kao legitimne Adobe aplikacije, budući da su prikazani s Adobe PDF ikonicom. Zbog toga se prepoznaju kao „aplikacije kojima može da se veruje“, što je većini Windows korisnika dovoljno da stvar ne ispituju dalje.

Kako Emotet kampanje uvek vode do ransomware napada, preporučuje se da Windows administratori uvek budu na oprezu.

Facebook komentari: