Emotet se vraća – pogođeno 100.000 Mailbox-ova
Posle zatišja od skoro dva meseca, botnet Emotet se vratio sa ažuriranim payload-om i kampanjom koja dnevno pogađa 100.000 ciljeva.
U vreme božićnih praznika, primećen Trickbot
Emotet je započeo život kao banking trojan 2014. godine i kontinuirano se razvijao u full-service threat-delivery mehanizam. Može da instalira kolekciju malwarea na računare žrtve, uključujući information stealers, email harvesters, self-propagation mehanizme i ransomware. Poslednji put je viđen u oktobru, ciljajući dobrovoljce Demokratskog nacionalnog komiteta (DNC), a pre toga, aktivirao se u julu nakon petomesečne pauze, saTrickbot trojancem. Pre toga, u februaru, primećen u kampanji koja je slala lažne SMS poruke žrtvama.
Emotet botnet je jedan od najplodnijih pošiljalaca zlonamernih mailova kada je aktivan, ali redovno miruje nedeljama ili mesecima. Botnet takođe ostaje veran formi u pogledu payloada. Malware TrickBot je dobro poznati i sofisticirani trojanski program koji je prvi put razvijen 2016. godine kao bankarski malware – poput Emoteta, on se transformisao i dodao nove funkcije kako bi izbegao otkrivanje ili unapredio svoje mogućnosti zaraze. Korisnici zaraženi trojancem TrickBot, videće da njihov uređaj postaje deo botneta koji napadači koriste za učitavanje malware drugog stepena.
Tipične posledice infekcija TrickBot-om su preuzimanje bankovnih računa, high-value wire prevare i ransomware napadi. Nekoliko security firmi primetilo je najnoviju kampanju. Thread hijacking je trik koji je Emotet dodao na jesen – operateri će se umetnuti u postojeću email konverzaciju, odgovarajući na stvarni email koji je poslat sa cilja. Primalac nema razloga da misli da se radi o zlonamernom emailu. Najzanimljivija stvar u ovoj kampanji je tajming. Obično Emotet prestaje sa radom između 24. decembra i početka januara. Istraživači Malwarebites-a su u međuvremenu primetili da hakeri smenjuju različite phishing mamce kako bi korisnike naveli da omoguće makroe, uključujući teme COVID-19.
Novi maldoc Emotet uključuje primetnu promenu, čiji je cilj da spreči žrtve da primete da su upravo zaražene. Dokument i dalje sadrži zlonamerni makro kod za instaliranje Emoteta i tvrdi da je „protected“ dokument, koji zahteva da korisnici omoguće makroe kako bi ih otvorili. Emotet najviše plaši zbog svog saveza sa drugim kriminalcima, posebno onima koji rade u ransomware poslu. Trijada Emotet – TrickBot – Riuk napravila je pustoš oko Božića 2018. godine, navodi Malwarebites.
Izvor: Threatpost