Широко известный ботнет вновь появился с новыми методами заражения ПК под управлением Windows. Когда-то Emotet называли самым опасным ботнетом из существующих, он помогал киберпреступникам распространять вредоносные программы и шифровальщики по всему миру, а в январе 2021 года его деятельность была прервана в результате скоординированной глобальной операции правоохранительных органов.
Но Emotet вновь появился спустя 10 месяцев и возобновил кампании кибер-атак. Вредонос рассылает миллионы фишинговых писем в рамках массовых спам-кампаний с целью заразить устройства вредоносным ПО, которое включит их в бот-сеть, контролируемую киберпреступниками.
По мнению исследователей кибербезопасности из компании Proofpoint, разработчики Emotet, по-видимому, тестируют новые методы атак в небольших масштабах, результаты чего потенциально могут быть использованы для гораздо более крупных кампаний. Новые тактики предназначены для затруднения обнаружения атак, что в конечном итоге повышает шансы уиберпреступников на успех.
Появление новых тактик атак Emotet совпало с периодом, когда казалось, что широкомасштабные кампании были приостановлены, а активность была незначительной.
Одна из последних кампаний использует взломанные учетные записи электронной почты для рассылки фишинговых писем с темами, состоящими из одного слова - исследователи отмечают, что одна из них - просто «Зарплата», такая тема может побудить пользователя кликнуть на нее из любопытства.
В теле сообщения содержится только URL OneDrive, на котором размещены zip-файлы, содержащие файлы Microsoft Excel Add-in (XLL) с названием, схожим с темой письма.
Если файлы XLL открываются и выполняются, Emotet попадает на машину, заражая ее. Ботнет может использоваться для кражи информации у жертв и служит в качестве бэкдора для установки других вредоносных программ на зараженную систему Windows - он часто использовался в качестве бэкдора для атак с целью требования выкупа.
Отличительной особенностью от предыдущих кампаний Emotet является использование URL-адресов OneDrive - обычно Emotet пытается распространить себя с помощью вложений Microsoft Office или фишинговых URL-адресов, содержащих ссылки на файлы Office.
Использование файлов XLL также необычно, поскольку Emotet традиционно распространяется с помощью документов Microsoft Excel или Word, содержащих скрипты или VBA-макросы.
Перемена тактики ботнета произошла после того, как компания Microsoft объявила, что с апреля начнет блокировать макросы, полученные из Интернета, по умолчанию. Этот шаг является частью усилий по защите пользователей от техники, часто используемой в фишинговых атаках, поэтому злоумышленники, вероятно, тестируют новые методы, чтобы обойти меры новые защиты.
«После нескольких месяцев постоянной активности Emotet меняет схемы атак. Вполне вероятно, что злоумышленники тестируют новые модели поведения в небольших масштабах, прежде чем распространять их среди жертв более широко, или распространяет их с помощью новых тактик наряду с существующими крупномасштабными кампаниями» - заявила Шеррод ДеГриппо, вице-президент по исследованиям и выявлению угроз компании Proofpoint.
«Специалистам по информационной безопасности следует знать о новых тактиках вредоноса и обеспечить соответствующую защиту» - добавила она.
Источник: https://www.zdnet.com