У 2021 році мережа навколо Emotet була розбита. Але це не означає, що Emotet повністю зник з мережі. Навпаки: завжди є ознаки того, що група навколо Emotet шукає нові шляхи атаки.
Після свого повернення Emotet з’явився в кількох спам-кампаніях. Mealybug, група хакерів, що стоїть за ботнетом, розробила численні нові модулі та переглянула існуючі. Натхненники Emotet багато чому навчилися з видалення два роки тому та витратили багато часу на те, щоб запобігти виявленню їх ботнету.
Інфраструктура Emotet мертва – зловмисне програмне забезпечення живе
Під час його останньої операції були атаковані цілі в Італії, Іспанії, Японії, Мексиці та Південній Африці. З квітня 2023 року діяльність Емотет призупинена. Дослідники ESET підозрюють, що хакери шукають нові вектори атак.
«Emotet поширюється через спам. Зловмисне програмне забезпечення може викрасти конфіденційну інформацію зі зламаних комп’ютерів і впровадити на них зловмисне програмне забезпечення сторонніх розробників. Оператори Emotet не дуже вимогливі до своїх цілей. Вони встановлюють зловмисне програмне забезпечення на системи окремих осіб, а також компаній і великих організацій», — каже дослідник ESET Якуб Калоч, який допомагав з аналізом.
Емотет мав знайти новий вектор атаки
З кінця 2021 року до середини 2022 року Emotet поширювався переважно через макроси VBA в документах Microsoft Word і Excel. У липні 2022 року Microsoft змінила правила гри для всіх сімейств шкідливих програм, таких як Emotet і Qbot, які використовували фішингові електронні листи зі зловмисними документами як метод розповсюдження, вимкнувши макроси VBA в документах, отриманих з Інтернету.
«Припинення основного вектора атаки Emotet спонукало його операторів шукати нові способи скомпрометувати свої цілі. Mealybug почав експериментувати зі шкідливими файлами LNK і XLL. Однак, коли 2022 рік наближався до кінця, оператори Emotet намагалися знайти новий вектор атаки, такий же ефективний, як макроси VBA. У 2023 році вони провели три різні спам-кампанії, кожна з яких перевіряла дещо інший шлях вторгнення та іншу техніку соціальної інженерії», — пояснює Калоч. «Однак скорочення масштабів атак і постійні зміни в підходах можуть свідчити про незадоволення результатами.» Пізніше Emotet вставив приманку в Microsoft OneNote. Незважаючи на попередження під час відкриття, що ця дія може призвести до шкідливого вмісту, користувачі натискали на нього.
Злочинці продовжують розвивати Emotet
Після повторної появи Emotet отримав кілька оновлень. Найпомітнішою особливістю було те, що ботнет змінив свою криптографічну схему та реалізував кілька нових обфускацій для захисту своїх модулів. З моменту повернення оператори Emotet доклали значних зусиль, щоб запобігти моніторингу та відстеженню їх ботнету. Крім того, вони впровадили кілька нових модулів і вдосконалили існуючі, щоб залишатися прибутковими.
Emotet поширюється через спам. Люди часто довіряють цим повідомленням, оскільки злочинці успішно використовують спеціальні методи для викрадення історії розмов в електронних листах. Перед видаленням Emotet використовував модулі, які ми називаємо Outlook Contact Stealer і Outlook Email Stealer, які могли викрадати електронні листи та контактну інформацію з Outlook. Однак, оскільки не всі використовують Outlook, після повернення Emotet також зосередився на безкоштовній альтернативній програмі електронної пошти: Thunderbird. Крім того, він почав використовувати модуль Google Chrome Credit Card Stealer, який викрадає інформацію про кредитну картку, що зберігається в браузері Google Chrome.
Згідно з даними телеметрії ESET і враженнями дослідників, ботнети Emotet затихли з початку квітня 2023 року. Ймовірно, це пов’язано з пошуком нового ефективного вектора атаки. Японія (2022%), Італія (43%), Іспанія (13%), Мексика (5%) і Південна Африка (5%) стали цілями більшості атак, виявлених ESET із січня 4 року до сьогодні.
Більше на ESET.com
Про ESET ESET – європейська компанія зі штаб-квартирою в Братиславі (Словаччина). З 1987 року ESET розробляє відзначене нагородами програмне забезпечення безпеки, яке вже допомогло понад 100 мільйонам користувачів користуватися безпечними технологіями. Широке портфоліо продуктів безпеки охоплює всі основні платформи та пропонує компаніям і споживачам у всьому світі ідеальний баланс між продуктивністю та проактивним захистом. Компанія має глобальну мережу продажів у понад 180 країнах і офіси в Єні, Сан-Дієго, Сінгапурі та Буенос-Айресі. Для отримання додаткової інформації відвідайте www.eset.de або слідкуйте за нами в LinkedIn, Facebook і Twitter.