2021'de Emotet'in etrafındaki ağ bozuldu. Ancak bu, Emotet'in web'den tamamen kaybolduğu anlamına gelmez. Aksine: Emotet çevresindeki grubun yeni saldırı yolları aradığına dair her zaman işaretler vardır.
Emotet, dönüşünden bu yana birkaç spam kampanyasında yer aldı. Botnet'in arkasındaki hacker grubu Mealybug, çok sayıda yeni modül geliştirdi ve mevcut olanları revize etti. Emotet'in arkasındaki beyinler, iki yıl önceki yayından kaldırmadan çok şey öğrendiler ve botnet'lerinin keşfedilmesini önlemek için çok zaman harcadılar.
Emotet'in altyapısı öldü - kötü amaçlı yazılım yaşıyor
Son operasyonunda İtalya, İspanya, Japonya, Meksika ve Güney Afrika'daki hedeflere saldırı düzenlendi. Nisan 2023'ten bu yana Emotet'in faaliyetleri askıya alınmıştır. ESET araştırmacıları, bilgisayar korsanlarının yeni saldırı vektörleri aradıklarından şüpheleniyor.
“Emotet spam e-postalar yoluyla yayılıyor. Kötü amaçlı yazılım, güvenliği ihlal edilmiş bilgisayarlardan hassas bilgileri çalabilir ve bunlara üçüncü taraf kötü amaçlı yazılımları enjekte edebilir. Emotet operatörleri hedefleri konusunda çok seçici değildir. Analize yardımcı olan ESET araştırmacısı Jakub Kaloč, "Kötü amaçlı yazılımlarını bireylerin, şirketlerin ve daha büyük kuruluşların sistemlerine yüklüyorlar" diyor.
Emotet'in yeni saldırı vektörü bulması gerekiyordu
2021'in sonlarından 2022'nin ortalarına kadar Emotet, esas olarak Microsoft Word ve Excel belgelerindeki VBA makroları aracılığıyla yayıldı. Temmuz 2022'de Microsoft, yayma yöntemi olarak kötü amaçlı belgeler içeren kimlik avı e-postalarını kullanan Emotet ve Qbot gibi tüm kötü amaçlı yazılım aileleri için oyunu değiştirdi ve internetten alınan belgelerde VBA makrolarını devre dışı bıraktı.
“Emotet'in ana saldırı vektörünün kapatılması, operatörlerini hedeflerini tehlikeye atmanın yeni yollarını aramaya sevk etti. Mealybug, kötü amaçlı LNK ve XLL dosyalarıyla denemeler yapmaya başladı. Ancak 2022 sona ererken Emotet operatörleri, VBA makroları kadar etkili yeni bir saldırı vektörü bulmakta zorlandı. 2023'te, her biri biraz farklı bir izinsiz giriş yolunu ve farklı bir sosyal mühendislik tekniğini test eden üç farklı kötü amaçlı spam kampanyası yürüttüler” diye açıklıyor Kaloč. "Bununla birlikte, saldırıların kapsamının daralması ve yaklaşımdaki sürekli değişiklikler, sonuçlardan memnuniyetsizliği gösterebilir." Emotet daha sonra Microsoft OneNote'a bir tuzak yerleştirdi. Açılışta bu eylemin kötü amaçlı içeriğe yol açabileceğine dair uyarılara rağmen, kullanıcılar buna tıkladı.
Suçlular Emotet'i geliştirmeye devam ediyor
Emotet yeniden ortaya çıktıktan sonra birkaç yükseltme aldı. En dikkate değer özellikler, botnet'in kriptografik şemasını değiştirmesi ve modüllerini korumak için birkaç yeni karartma uygulamasıydı. Emotet operatörleri, geri döndüklerinden beri botnet'lerinin izlenmesini ve takip edilmesini önlemek için önemli çabalar sarf etti. Ayrıca, kârlı kalmak için birkaç yeni modül uyguladılar ve mevcut modülleri geliştirdiler.
Emotet spam e-postalar yoluyla dağıtılır. Suçlular, e-postalardaki konuşma geçmişlerini ele geçirmek için özel teknikleri başarıyla kullandıklarından, insanlar genellikle bu mesajlara güvenirler. Kaldırılmadan önce Emotet, Outlook'tan e-postaları ve iletişim bilgilerini çalabilen Outlook Contact Stealer ve Outlook Email Stealer olarak adlandırdığımız modülleri kullandı. Ancak herkes Outlook kullanmadığından, Emotet geri döndükten sonra ücretsiz bir alternatif e-posta uygulamasına da odaklandı: Thunderbird. Ayrıca, Google Chrome tarayıcısında depolanan kredi kartı bilgilerini çalan Google Chrome Credit Card Stealer modülünü kullanmaya başladı.
ESET telemetrisine ve araştırmacıların izlenimlerine göre Emotet botnet'leri 2023 Nisan ayının başından beri sessiz. Bunun nedeni muhtemelen yeni bir etkili saldırı vektörü bulmaktır. ESET tarafından Ocak 2022'den bugüne kadar tespit edilen saldırıların çoğunda Japonya (%43), İtalya (%13), İspanya (%5), Meksika (%5) ve Güney Afrika (%4) hedef alındı.
Daha fazlası ESET.com'da
ESET Hakkında ESET, merkezi Bratislava'da (Slovakya) bulunan bir Avrupa şirketidir. 1987'den beri ESET, 100 milyondan fazla kullanıcının güvenli teknolojilerden yararlanmasına yardımcı olan ödüllü güvenlik yazılımı geliştirmektedir. Geniş güvenlik ürünleri portföyü, tüm büyük platformları kapsar ve dünya çapındaki işletmelere ve tüketicilere performans ile proaktif koruma arasında mükemmel bir denge sunar. Şirketin 180'den fazla ülkede küresel bir satış ağı ve Jena, San Diego, Singapur ve Buenos Aires'te ofisleri bulunmaktadır. Daha fazla bilgi için www.eset.de adresini ziyaret edin veya bizi LinkedIn, Facebook ve Twitter'da takip edin.