Μετά από μήνες αδράνειας, το διαβόητο Emotet Spamming Trojan ξαναζωντανεύει καθώς πραγματοποιεί μια τεράστια εκστρατεία spam email που στοχεύει χρήστες σε όλο τον κόσμο.
Το Emotet είναι ένα malware που εξαπλώνεται μέσω ανεπιθύμητων μηνυμάτων ηλεκτρονικού ταχυδρομείου που περιέχουν κακόβουλα έγγραφα Word ή Excel. Αυτά τα έγγραφα χρησιμοποιούν μακροεντολές για λήψη και εγκατάσταση του Emotet Trojan στον υπολογιστή του θύματος, το οποίο εγκαθιστά άλλο malware με την πάροδο του χρόνου και χρησιμοποιεί τον μολυσμένο υπολογιστή για την αποστολή περαιτέρω spam email.
Ο ερευνητής του Binary Defense, James Quinn είπε στο BleepingComputer ότι το Emotet εμφανίστηκε τελευταία φορά στις 7 Φεβρουαρίου 2020.
Ενώ η ομάδα παρακολούθησης του Emotet Cryptolaemus παρακολουθεί τη μόλυνση και έχει δει τα κακόβουλα modules του να ενημερώνονται με την πάροδο του χρόνου, δεν έχει υπάρξει ανεπιθύμητη αλληλογραφία από το botnet εκτός από μερικές μικρές δοκιμές νωρίτερα αυτήν την εβδομάδα.
Το Emotet ξαναζωντανεύει
Σήμερα, το Emotet ξαφνικά επανήλθε στη ζωή με μια καμπάνια spam που παραδίδει email που περιέχουν κακόβουλα υπολογιστικά φύλλα εγγράφων του Word.
Ο Joseph Roosen, expert στο θέμα του Emotet, είπε ότι η δραστηριότητα που παρατηρήθηκε ήταν περιορισμένη στις αρχές της εβδομάδας, αλλά τα συμπεριλαμβανόμενα κακόβουλα έγγραφα χρησιμοποιούσαν παλιά URL.
Ο Roosen δήλωσε ότι το botnet του Emotet τώρα εκπέμπει τεράστια ποσά ανεπιθύμητων μηνυμάτων και ότι τα κακόβουλα έγγραφα χρησιμοποιούν νέες διευθύνσεις URL που συνήθως χακαρισμένοι ιστότοποι WordPress.
Ένα από τα ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου του Emotet που κοινοποιήθηκε στο BleepingComputer από την Binary Defense είναι ένα “shipping έγγραφο” που προσποιείται ότι είναι ένα έγγραφο αποστολής από το Loomis-express.com.
Η Confense Labs δήλωσε ότι το κυρίαρχο template που βλέπουν έχει θέμα «Jobs GO», και αρκετοί χρησιμοποιούν το « Συμβουλές εμβασμάτων πληρωμών Expedia » ή αιτήματα για template W-9.
Τα συνημμένα έγγραφα του Word χρησιμοποιούν ένα νέο template που λέει στον χρήστη ότι δεν μπορεί να ανοίξει σωστά, γιατί δημιουργήθηκε στο iOS. Στη συνέχεια, έχει ένα λάθος στο template όπου όταν ανοίγει εμφανίζει το «Enable Edition» και όχι το «Enable Editing».
Αυτό το νέο template εγγράφου δεν έχει χρησιμοποιηθεί προηγουμένως σε προηγούμενες καμπάνιες και μπορείτε να διαβάσετε το πλήρες κείμενο παρακάτω.
Σε μια δοκιμή του BleepingComputer, μετά την ενεργοποίηση των μακροεντολών σε ένα κακόβουλο έγγραφο, εκτελέστηκε μια εντολή PowerShell που έκανε λήψη και εκτέλεσε το Emotet από παραβιασμένους ιστότοπους WordPress.
Αυτό οδήγησε τελικά στην αποθήκευση του trojan ως %UserProfile%\AppData\Local\dwmapi\certmgr.exe.
Θα δημιουργηθεί επίσης ένα κλειδί μητρώου αυτόματης εκτέλεσης στο HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run για να ξεκινήσει το trojan Emotet όταν κάνουν εκκίνηση τα Windows.
Μόλις εκτελεστεί το malware, θα αναπτύξει περαιτέρω κακόβουλα λειτουργικά modules που κλέβουν την αλληλογραφία ενός θύματος, εξαπλώνονται σε άλλους υπολογιστές ή χρησιμοποιούν τον μολυσμένο υπολογιστή για την αποστολή ανεπιθύμητων μηνυμάτων.
Με την πάροδο του χρόνου, το Emotet είναι γνωστό ότι εγκαθιστά το TrickBot trojan, το οποίο στη συνέχεια χρησιμοποιείται για την κλοπή κωδικών πρόσβασης, cookie, κλειδιών SSH, εξάπλωση σε ένα δίκτυο και τελικά πρόσβαση σε χειριστές ransomware.
Είναι σημαντικό να τονιστεί ότι αυτή η νέα καμπάνια δεν έχει ως στόχο κάποια συγκεκριμένη χώρα αλλά στοχεύει χρήστες σε όλο τον κόσμο.
Εάν έχετε ανακαλύψει ότι έχετε μολυνθεί από το Emotet, συνιστάται να πραγματοποιείτε έλεγχο του λογαριασμού δικτύου και email για να βεβαιωθείτε ότι δεν έχουν παραβιαστεί άλλες συσκευές του οργανισμού σας.
Για να μείνετε ενημερωμένοι για τις τελευταίες ενημερώσεις του Emotet, σας προτείνουμε να ακολουθήσετε στο Twitter την ομάδα Cryptolaemus που παρακολουθεί το Emotet.
Το Malwarebytes δημοσίευσε επίσης ένα άρθρο με περαιτέρω IOC που σχετίζονται με αυτήν τη νέα καμπάνια.
