2021 年、Emotet を取り巻くネットワークは崩壊しました。 しかし、それは Emotet が Web から完全に消えたことを意味するわけではありません。 それどころか、Emotet の周囲のグループが新たな攻撃手段を探している兆候が常にあります。
Emotet は復活して以来、いくつかのスパム キャンペーンに登場しています。 ボットネットの背後にいるハッカー グループである Mealybug は、多数の新しいモジュールを開発し、既存のモジュールを改訂しました。 Emotet の背後にいる首謀者たちは、XNUMX 年前の削除から多くのことを学び、ボットネットの発見を防ぐために多くの時間を費やしました。
Emotet のインフラは死んだ - マルウェアは生き続ける
前回の作戦では、イタリア、スペイン、日本、メキシコ、南アフリカの標的が攻撃された。 2023年XNUMX月以降、Emotetの活動は停止されています。 ESETの研究者らは、ハッカーが新たな攻撃ベクトルを探しているのではないかと疑っている。
「Emotet はスパムメールを通じて拡散します。 このマルウェアは、侵害されたコンピュータから機密情報を盗み、サードパーティのマルウェアをコンピュータに注入する可能性があります。 Emotet の運営者は、自分たちの目標についてあまりこだわりがありません。 彼らは個人だけでなく企業や大規模組織のシステムにもマルウェアをインストールします」と分析に協力したESETの研究者ヤクブ・カロチ氏は述べています。
Emotet は新たな攻撃ベクトルを見つける必要がありました
2021 年後半から 2022 年半ばにかけて、Emotet は主に Microsoft Word および Excel ドキュメントの VBA マクロを介して拡散しました。 2022 年 XNUMX 月、Microsoft は、インターネットから取得したドキュメント内の VBA マクロを無効にすることで、悪意のあるドキュメントを含むフィッシングメールを伝播手段として使用していた Emotet や Qbot などのすべてのマルウェア ファミリに対する方針を変更しました。
「Emotet の主要な攻撃ベクトルがシャットダウンされたことにより、その運用者はターゲットを侵害する新たな方法を模索するようになりました。 Mealybug は、悪意のある LNK および XLL ファイルの実験を開始しました。 しかし、2022 年が終わりに近づくにつれ、Emotet のオペレーターは、VBA マクロと同じくらい効果的な新しい攻撃ベクトルを見つけるのに苦労しました。 2023 年に、彼らは XNUMX つの異なるマルスパム キャンペーンを実行し、それぞれわずかに異なる侵入ルートと異なるソーシャル エンジニアリング手法をテストしました」と Kaloč 氏は説明します。 「しかし、攻撃範囲の縮小とアプローチの絶え間ない変化は、結果への不満を示している可能性があります。」 その後、Emotet はおとりを Microsoft OneNote に埋め込みました。 開くと、この操作により悪意のあるコンテンツが生成される可能性があるという警告が表示されたにもかかわらず、ユーザーはそれをクリックしました。
犯罪者は Emotet の開発を続けている
再登場後、Emotet はいくつかのアップグレードを受けました。 最も注目すべき特徴は、ボットネットが暗号化スキームを変更し、モジュールを保護するためにいくつかの新しい難読化を実装したことです。 Emotet の運用者は復帰以来、ボットネットの監視や追跡を防ぐために多大な努力を払ってきました。 また、収益性を維持するために、いくつかの新しいモジュールを実装し、既存のモジュールを改善しました。
Emotet はスパムメールを通じて配布されます。 犯罪者が特別なテクニックを使って電子メール内の会話履歴を乗っ取ることに成功しているため、人々はこれらのメッセージを信頼することがよくあります。 削除前、Emotet は Outlook Contact Stealer および Outlook Email Stealer と呼ばれるモジュールを使用しており、Outlook から電子メールと連絡先情報を盗むことができました。 ただし、誰もが Outlook を使用しているわけではないため、Emotet は復帰後、無料の代替電子メール アプリケーションである Thunderbird にも焦点を当てました。 さらに、Google Chrome ブラウザに保存されているクレジット カード情報を盗む Google Chrome Credit Card Stealer モジュールの使用を開始しました。
ESET のテレメトリと研究者の印象によると、Emotet ボットネットは 2023 年 2022 月初めから静かになっています。 これはおそらく、新たな効果的な攻撃ベクトルを発見したことによるものと考えられます。 43年13月から現在までにESETが検出した攻撃のほとんどは、日本(5%)、イタリア(5%)、スペイン(4%)、メキシコ(XNUMX%)、南アフリカ(XNUMX%)が標的となっていた。
詳細はESET.comで
ESETについて ESET は、ブラチスラバ (スロバキア) に本社を置くヨーロッパの会社です。 1987 年以来、ESET は受賞歴のあるセキュリティ ソフトウェアを開発しており、すでに 100 億人を超えるユーザーが安全なテクノロジを利用できるように支援しています。 セキュリティ製品の幅広いポートフォリオは、すべての主要なプラットフォームをカバーし、世界中の企業と消費者にパフォーマンスとプロアクティブな保護の完璧なバランスを提供します。 同社は 180 を超える国にグローバルな販売ネットワークを持ち、イエナ、サンディエゴ、シンガポール、ブエノスアイレスにオフィスを構えています。 詳細については、www.eset.de にアクセスするか、LinkedIn、Facebook、Twitter でフォローしてください。