Κυριακή, 21 Φεβρουαρίου, 22:00
Αρχική security Emotet botnet: Hacker-τιμωρός αντικαθιστά κακόβουλα payloads με GIFs

Emotet botnet: Hacker-τιμωρός αντικαθιστά κακόβουλα payloads με GIFs

Emotet botnet Hacker-τιμωρός GIFs

Ένας άγνωστος hacker-τιμωρός κάνει σαμποτάζ στο πρόσφατα ανανεωμένο Emotet botnet, αντικαθιστώντας τα Emotet payloads με κινούμενα GIFs και προστατεύοντας τα θύματα από τη μόλυνση.

Το σαμποτάζ ξεκίνησε στις 21 Ιουλίου και έχει εξελιχθεί από ένα απλό αστείο σε ένα σοβαρό ζήτημα που πλήττει μεγάλο μέρος της επιχείρησης Emotet.

Τι συμβαίνει πραγματικά με το Emotet botnet και πώς το στόχευσε ο hacker-τιμωρός;

Το Emotet botnet λειτουργεί μέσω spam emails, τα οποία υποτίθεται ότι περιέχουν μηνύματα σχετικά με επιχειρήσεις. Αυτά τα emails περιέχουν είτε ένα κακόβουλο έγγραφο του Office είτε έναν σύνδεσμο προς ένα κακόβουλο αρχείο του Office, το οποίο οι χρήστες καλούνται να το κατεβάσουν στον υπολογιστή τους.

Όταν οι χρήστες ανοίγουν ένα από αυτά τα αρχεία και πατούν συνδέσμους μέσα στο αρχείο ή ενεργοποιούν τη δυνατότητα “Ενεργοποίηση επεξεργασίας”, για να επιτρέψουν την εκτέλεση μακροεντολών (αυτοματοποιημένα scripts), τα αυτοματοποιημένα scripts κατεβάζουν το Emotet malware και διάφορα στοιχεία του από το Διαδίκτυο.

Με τον όρο “Διαδίκτυο” εννοούμε στην πραγματικότητα “παραβιασμένους ιστότοπους WordPress“, όπου η συμμορία Emotet αποθηκεύει προσωρινά τα στοιχεία του κακόβουλου λογισμικού της ή αλλιώς τα κακόβουλα payloads.

Αυτές οι προσωρινές τοποθεσίες φιλοξενίας είναι, επίσης, η Αχίλλειος πτέρνα του Emotet botnet.

Η συμμορία Emotet ελέγχει αυτούς τους παραβιασμένους ιστότοπους μέσω web shells, ενός τύπου κακόβουλου λογισμικού εγκατεστημένου σε servers που έχουν παραβιαστεί για να επιτρέπουν στους εισβολείς να χειρίζονται τον server.

Αλλά η συμμορία Emotet δεν χρησιμοποιεί τα καλύτερα web shells που διατίθενται στην αγορά. Τις περισσότερες φορές χρησιμοποιεί open-source scripts και έχει τον ίδιο κωδικό πρόσβασης για όλα τα web shells της, εκθέτοντας την υποδομή της σε εύκολες παραβιάσεις, εάν κάποιος μαντέψει τον κωδικό πρόσβασης του web shell. Αυτή την αδυναμία εκμεταλλεύτηκε και ο hacker-τιμωρός.

Hacker-τιμωρός σαμποτάρει το Emotet botnet

Το Emotet, που θεωρείται το πιο επικίνδυνο malware botnet, είχε πέσει σε αδράνεια για περισσότερο από πέντε μήνες, αλλά εμφανίστηκε ξανά την προηγούμενη εβδομάδα.

Ωστόσο, ένας hacker-τιμωρός φαίνεται να ανακάλυψε τον κοινό κωδικό πρόσβασης των web shell και αποφάσισε να σαμποτάρει την επιστροφή του Emotet.

Ο άγνωστος εισβολέας αντικαθιστά τα Emotet payloads σε μερικούς από τους παραβιασμένους ιστότοπους του WordPress με κινούμενα GIFs. Αυτό σημαίνει ότι όταν τα θύματα του Emotet ανοίγουν τα κακόβουλα αρχεία του Office, δεν μολύνονται καθώς το Emotet δεν κατεβαίνει και δεν εκτελείται στα συστήματά τους.

Τις τελευταίες ημέρες, ο εισβολέας έχει αντικαταστήσει τα Emotet payloads με πολλά δημοφιλή GIFs.

Το πρώτο, που εντοπίστηκε την Τρίτη, είναι αυτό το Blink 182 “WTF” GIF.

Τη δεύτερη μέρα, χρησιμοποιήθηκε το GIF του James Franco.

Μετά από αυτό, είχαμε το Hackerman GIF.

Τα GIFs λαμβάνονται συνήθως είτε από το Imgur είτε από το Giphy, δύο GIF-hosting υπηρεσίες.

Emotet botnet: Επηρεάζεται μεγάλο μέρος της κακόβουλης επιχείρησης

Περίπου το ένα τέταρτο όλων των καθημερινών payload links του Emotet αντικαθίστανται με GIFs, προκαλώντας σοβαρές απώλειες στην συμμορία Emotet.

Η Emotet συμμορία γνωρίζει τι γίνεται και απ’ ότι φαίνεται σταμάτησε τη λειτουργία του botnet την Πέμπτη, σε μια προσπάθεια να απομακρύνει τον επιτιθέμενο από το web shell δίκτυό της.

Σε κάποιες περιπτώσεις, οι hackers κατάφεραν να αντικαταστήσουν ξανά το GIF με το κακόβουλο payload.

Ο hacker-τιμωρός κατάφερε να προκαλέσει σοβαρή ζημιά στο Emotet την προηγούμενη εβδομάδα.

Οι ερευνητές ασφαλείας θεωρούν ότι η Emotet συμμορία προσπαθεί ακόμα να αποκτήσει τον έλεγχο των web shells της.

Επί του παρόντος, η ταυτότητα του hacker-τιμωρού είναι άγνωστη. Κάποιες θεωρίες λένε ότι πρόκειται για μια αντίπαλη malware συμμορία ή για κάποιο μέλος της βιομηχανίας ασφάλειας στον κυβερνοχώρο.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!

LIVE NEWS

Πως να πραγματοποιήσετε μια κλήση Facetime Audio

Έχετε κουραστεί από τις κλήσεις κινητής τηλεφωνίας χαμηλής ποιότητας; Χάρη στο FaceTime, μπορείτε να πραγματοποιείτε κλήσεις υψηλής ανάλυσης αν χρησιμοποιείτε iPhone, iPad,...

Πώς θα προσθέσετε ειδικά εφέ στα μηνύματα του Instagram

Γνωρίζατε ότι μπορείτε να κάνετε τα άμεσα μηνύματα του Instagram πιο εντυπωσιακά; Όπως κάθε άλλη δυνατότητα του Instagram, μπορείτε να προσθέσετε ειδικά...

Μόνο 270 διευθύνσεις είναι υπεύθυνες για το 55% του συνόλου της νομιμοποίησης εσόδων από παράνομες δραστηριότητες

Οι κυβερνοεγκληματίες που διατηρούν τα χρήματά τους σε κρυπτονομίσματα τείνουν να «ξεπλένουν» χρήματα μέσω ενός μικρού συνόλου διαδικτυακών υπηρεσιών, σύμφωνα με την...

Twitter: Έρχονται τα φωνητικά μηνύματα! Πώς θα τα στέλνουμε;

Το Twitter θα υποστηρίζει σύντομα φωνητικά μηνύματα τόσο στην iOS όσο και στην Android εφαρμογή. Αυτό σημαίνει ότι θα μπορείτε να στέλνετε...

Πως να συνδέσετε ακουστικά Bluetooth σε ένα Nintendo Switch

Το Nintendo Switch διαθέτει υποδοχή ακουστικών. Ωστόσο, τα περισσότερα ακουστικά έχουν γίνει ασύρματα οπότε θα χρειαστείτε έναν τρόπο για να συνδέσετε αυτά...

Πώς να αποκρύψετε τον αριθμό τηλεφώνου σας στο Telegram

Εάν επιθυμείτε να δημιουργήσετε ένα λογαριασμό Telegram, πρέπει να δώσετε τον αριθμό τηλεφώνου σας. Με αυτό τον τρόπο, το Telegram επικυρώνει την...

Google Assistant: Πώς μπορείτε να διαγράψετε τις ηχογραφήσεις σας;

Το Google Assistant μπορεί να σας διευκολύνει πολύ στην καθημερινότητά σας. Ωστόσο, συνεπάγεται και κάποια ζητήματα ως προς το απόρρητο, καθώς όσα...

Microsoft: Office 2021 / Office LTSC έρχονται το δεύτερο εξάμηνο του 2021

Η Microsoft ανακοίνωσε ότι θα κυκλοφορήσει μέσα στο 2021 το Microsoft Office Long Term Servicing Channel (LTSC) και το Office 2021, για...

Πώς να δημιουργήσετε με γρήγορο τρόπο QR codes με το Bing

Αν χρειαστεί ποτέ να δημιουργήσετε έναν QR code, αλλά δεν ξέρετε πως, η Microsoft διαθέτει ένα εύχρηστο εργαλείο διαθέσιμο σε οποιοδήποτε πρόγραμμα...

Brave: Διέρρευσαν διευθύνσεις onion σε DNS traffic

Η λειτουργία Tor που περιλαμβάνεται στον Brave web browser, επιτρέπει στους χρήστες να έχουν πρόσβαση σε .onion dark web domains μέσα σε...