Έντονη δραστηριότητα του κακόβουλου λογισμικού Emotet έχει παρατηρηθεί τον τελευταίο καιρό, καθώς το botnet μεταβαίνει σε νέα ωφέλιμα φορτία που εντοπίζονται αυτήν τη στιγμή από λιγότερες μηχανές προστασίας από ιούς.
Δείτε επίσης: Enemybot: Ερευνητές εντόπισαν νέο DDoS botnet
Όπως αναφέρουν οι ερευνητές ασφαλείας που παρακολουθούν το Emotet botnet, τα email που μεταφέρουν κακόβουλα ωφέλιμα φορτία έχουν δεκαπλασιαστεί.
Το Emotet είναι ένα αυτοδιαδιδόμενο αρθρωτό trojan που μπορεί να διατηρήσει την επιμονή στον κεντρικό υπολογιστή. Χρησιμοποιείται για την κλοπή δεδομένων χρήστη, την εκτέλεση αναγνώρισης δικτύου, την πλευρική μετακίνηση ή την απόρριψη πρόσθετων ωφέλιμων φορτίων όπως το Cobalt Strike.
Από αρχή του έτους έχει εντοπιστεί μία αύξηση της ανάπτυξής του, αλλά οι χειριστές του φαίνεται ότι προχωρούν με ταχύτερους ρυθμούς πλέον.
Σύμφωνα με την Kaspersky, η δραστηριότητα του Emotet σημείωσε μία απότομη άνοδο από τον Φεβρουάριο έως τον Μάρτιο, φτάνοντας από 3.000 σε 30.000 email.
Τα μηνύματα στα email είναι γραμμένα στα Αγγλικά, τα Γαλλικά, τα Ουγγρικά, τα Ιταλικά, τα Νορβηγικά, τα Πολωνικά, τα Ρωσικά, τα Σλοβενικά, τα Ισπανικά και τα Κινέζικα.
Δείτε ακόμα: Η Microsoft αναλαμβάνει τον έλεγχο της υποδομής botnet ZLoader
Οι χειριστές του Emotet botnet χρησιμοποιούν διαφορετική θεματολογία στα email τους, ανάλογα με το τι είναι πιο επίκαιρο κάθε εποχή. Στην προκειμένη περίπτωση εκμεταλλεύονται τη γιορτή του Πάσχα.
Η Check Point δημοσίευσε επίσης μια αναφορά, η οποία κατέταξε το Emotet ως το νούμερο ένα πιο διαδεδομένο και ενεργό κακόβουλο λογισμικό για τον Μάρτιο του 2022.
Η Kaspersky αναφέρει ότι οι συνεχιζόμενες καμπάνιες διανομής email Emotet botnet χρησιμοποιούν επίσης κόλπα παραβίασης νημάτων συζήτησης, που παρατηρούνται σε καμπάνιες Qbot που συνδέονται με τους ίδιους χειριστές.
«Ο στόχος του email είναι να πείσει τους χρήστες είτε να ακολουθήσουν τον σύνδεσμο και να κατεβάσουν ένα αρχειοθετημένο έγγραφο και να το ανοίξουν – μερικές φορές χρησιμοποιώντας έναν κωδικό πρόσβασης που αναφέρεται στο email ή απλώς να ανοίξουν ένα συνημμένο email», σημειώνουν οι ερευνητές.
Δείτε επίσης: Botnet Fodcha: Στοχεύει πάνω από 100 θύματα την ημέρα με DDoS
Επειδή οι κακόβουλοι παράγοντες έχουν πρόσβαση σε προηγούμενη αλληλογραφία, είναι εύκολο για αυτούς να παρουσιάσουν το συνημμένο ως κάτι που θα περίμενε ο παραλήπτης ως συνέχεια μίας συνομιλίας.
Η ερευνητική ομάδα ασφάλειας Cryptolaemus, η οποία παρακολουθεί προσεκτικά τη δραστηριότητα του Emotet botnet, είπε ότι οι χειριστές κακόβουλου λογισμικού έχουν επίσης αλλάξει σε φορτωτές 64-bit και μονάδες κλοπής στο Epoch 4, μία από τις υποομάδες του botnet που εκτελούνται σε ξεχωριστή υποδομή. Προηγουμένως, βασιζόταν σε κώδικα 32-bit.
Ήδη, το ποσοστό ανίχνευσης για το Epoch 4 έχει μειωθεί κατά 60%, το οποίο πιστεύεται ότι είναι άμεσο αποτέλεσμα αυτής της αλλαγής.
