Στο σημερινό τοπίο ασφάλειας στον κυβερνοχώρο, το botnet Emotet είναι μια από τις μεγαλύτερες πηγές malspam – ένας όρος που χρησιμοποιείται για να περιγράψουν email που παρέχουν συνημμένα αρχεία με κακόβουλο λογισμικό.
Αυτές οι καμπάνιες malspam είναι απολύτως ζωτικής σημασίας για τους χειριστές του Emotet.
Είναι η βάση που υποστηρίζει το botnet, τροφοδοτώντας νέα θύματα στη μηχανή που ονομάζεται Emotet – μια επιχείρηση Malware-as-a-Service (MaaS) που ενοικιάζεται σε άλλες εγκληματικές ομάδες.
Για να αποφευχθεί η ανάληψη και η επισήμανση των email τους ως «κακόβουλων» ή «ανεπιθύμητων», η ομάδα Emotet αλλάζει τακτικά τον τρόπο παράδοσης αυτών των μηνυμάτων και τον τρόπο εμφάνισης των συνημμένων αρχείων.
Οι χειριστές του Emotet αλλάζουν τα θέματα των email, το κείμενο των email, τον τύπο των συνημμένων αρχείων, αλλά και το περιεχόμενο του συνημμένου αρχείου, το οποίο είναι εξίσου σημαντικό με το υπόλοιπο email.
Αυτό συμβαίνει επειδή οι χρήστες που λαμβάνουν το Emotet malspam, εκτός από την ανάγνωση του email και το άνοιγμα του αρχείου, πρέπει να επιτρέψουν στο αρχείο να εκτελέσει αυτοματοποιημένα scripts που ονομάζονται “macros”. Οι μακροεντολές του Office εκτελούνται αφού ο χρήστης πατήσει το κουμπί “Enable Editing” που εμφανίζεται μέσα σε ένα αρχείο του Office.
Η εξαπάτηση των χρηστών για ενεργοποίηση της επεξεργασίας είναι εξίσου σημαντική για τους χειριστές malware, όπως και ο σχεδιασμός των email templates τους, του malware τους ή της υποδομής backend του botnet.
Κατά τη διάρκεια των ετών, το Emotet έχει αναπτύξει μια συλλογή εγγράφων Office που χρησιμοποιούν μια μεγάλη ποικιλία “θελγήτρων” για να πείσει τους χρήστες να κάνουν κλικ στο κουμπί “Enable Editing”.
Αλλά αυτή την εβδομάδα, το Emotet επέστρεψε με ένα νέο δέλεαρ εγγράφων.
Τα συνημμένα αρχεία που στάλθηκαν σε πρόσφατες καμπάνιες Emotet δείχνουν ένα μήνυμα που ισχυρίζεται ότι προέρχεται από την υπηρεσία Windows Update, το οποίο λέει στους χρήστες ότι η εφαρμογή Office πρέπει να ενημερωθεί. Φυσικά, αυτό πρέπει να γίνει κάνοντας κλικ στο κουμπί Enable Editing.
Σύμφωνα με μια ενημέρωση από την ομάδα Cryptolaemus, αυτά τα θέλγητρα Emotet έχουν “σπαμμάρει” χρήστες που βρίσκονται σε όλο τον κόσμο.
Σύμφωνα με αυτήν την αναφορά, σε μερικούς μολυσμένους hosts, το Emotet εγκατέστησε το TrickBot trojan, επιβεβαιώνοντας μια αναφορά του ZDNet που κυκλοφόρησε νωρίτερα αυτήν την εβδομάδα ότι το botnet TrickBot επέζησε μιας πρόσφατης προσπάθειας κατάργησης από τη Microsoft και τους συνεργάτες της.
Αυτά τα παγιδευμένα έγγραφα αποστέλλονται από email με ψεύτικες ταυτότητες, που φαίνεται να προέρχονται από γνωστούς και επιχειρηματικούς εταίρους.
Επιπλέον, το Emotet χρησιμοποιεί συχνά μια τεχνική που ονομάζεται «conversation hijacking», μέσω της οποίας κλέβει email threads από μολυσμένους hosts, εισάγει τον εαυτό του στο thread με μια απάντηση που παριστάνει έναν από τους συμμετέχοντες και προσθέτει τα συνημμένα έγγραφα του Office.
Η τεχνική είναι δύσκολο να εντοπιστεί, ειδικά μεταξύ των χρηστών που εργάζονται με επαγγελματικά email σε καθημερινή βάση, και αυτός είναι ο λόγος για τον οποίο το Emotet καταφέρνει πολύ συχνά να μολύνει εταιρικά ή κυβερνητικά δίκτυα.
