TA542, кіберзлочинна група, яка розповсюджує зловмисне програмне забезпечення Emotet, закінчила літні канікули та запускає все нові й нові кампанії. Однак також із зміненими варіантами Emotet.
Група TA542 була відсутня протягом майже чотирьох місяців і востаннє її бачили в дії влітку 13 липня 2022 року. З 2 листопада фахівці з безпеки Proofpoint відстежують нові дії TA542, особливо в Німеччині.
Основні висновки щодо кампаній Emotet
- TA542 використовує налаштовані варіанти Emotet у нових кампаніях. Зміни (див. нижче) впливають на корисне навантаження та приманку, що використовується, а також на зміни в модулях Emotet, завантажувачі та пакувальнику.
- Emotet тепер також надає банківський троян IcedID.
- Нові дії свідчать про те, що Emotet повертає свою повну функціональність як мережа розповсюдження різних штамів шкідливого програмного забезпечення.
- Ботнет має деякі ключові відмінності від попередніх кампаній. Це означає, що задіяні нові оператори або нове керівництво.
- Кампанії електронної пошти TA542 є одними з лідерів кіберзлочинності за обсягом електронної пошти. Proofpoint уже заблокував сотні тисяч повідомлень на день.
- Файл Excel, що містить зловмисне програмне забезпечення, містить інструкції для потенційних жертв щодо копіювання файлу до шаблону Microsoft Office і запуску його звідти. Для цього потрібні права адміністратора. Це більше стосується приватних комп’ютерів, ніж корпоративних.
Основні нововведення Emotet
- Нові візуальні приманки для вкладень Excel
- Зміни в двійковому файлі Emotet
- Emotet використовує нову версію завантажувача IcedID
- Крім IcedID використовується завантажувач шкідливих програм Bumblebee
Експерти з кібербезпеки Proofpoint очікують, що TA542 продовжуватиме адаптувати свій метод, маючи потенціал для збільшення обсягів електронної пошти, більш цільових регіонів і нових варіантів або методів прикріпленого або пов’язаного шкідливого програмного забезпечення. Зміни, які вже внесено до двійкового файлу Emotet, свідчать про те, що кіберзлочинці також продовжуватимуть його налаштовувати.
Emotet: Експерти очікують сильного зростання
Усе вказує на те, що Emotet відновить свою повну функціональність як мережа розповсюдження багатьох основних родин шкідливих програм. Що особливо цікаво, Emotet розвивається. Ми спостерігали за цим роками, і немає жодних ознак припинення діяльності. Він продовжує вмирати і відроджуватися, як кіт, який має понад дев'ять життів.
Більше на Proofpoint.com
Про Proofpoint Proofpoint, Inc. є провідною компанією з кібербезпеки. У центрі уваги Proofpoint – захист працівників. Оскільки це означає найбільший капітал для компанії, але також і найбільший ризик. Завдяки інтегрованому пакету хмарних рішень кібербезпеки Proofpoint допомагає організаціям у всьому світі зупиняти цілеспрямовані загрози, захищати їхні дані та навчати корпоративних ІТ-користувачів про ризики кібератак.