Το Emotet malware στοχεύει ξανά χρήστες, αφού οι χειριστές του διόρθωσαν ένα σφάλμα που επέτρεπε στους ανθρώπους να αποφύγουν τη μόλυνση όταν άνοιγαν κακόβουλα συνημμένα σε phishing emails.
Τα συνημμένα σε phishing emails είναι η κύρια μέθοδος διανομής του δημοφιλούς Emotet malware. Εάν ένας χρήστης ανοίξει το συνημμένο, κακόβουλες μακροεντολές ή scripts θα κατεβάσουν το Emotet DLL και θα το φορτώσουν στη μνήμη.
Δείτε επίσης: Ransomware: Η ομάδα FIN12 γίνεται πολύ πιο γρήγορη στην κρυπτογράφηση δικτύων
Μόλις γίνει η φόρτωση, το κακόβουλο λογισμικό θα αναζητήσει και θα κλέψει emails για χρήση σε μελλοντικές spam καμπάνιες, ενώ μπορεί να εγκαταστήσει στις συσκευές των θυμάτων και πρόσθετα payloads που μπορούν να οδηγήσουν σε επιθέσεις ransomware.
Emotet malware: Το σφάλμα που δημιούργησε πρόβλημα στις επιθέσεις
Πριν από μερικές ημέρες, οι διανομείς του κακόβουλου λογισμικού ξεκίνησαν μια νέα phishing καμπάνια που περιλάμβανε συνημμένα αρχεία ZIP προστατευμένα με κωδικό πρόσβασης. Τα αρχεία περιελάμβαναν Windows LNK (shortcut) files και υποτίθεται ότι ήταν έγγραφα του Word.
Όταν ένας χρήστης έκανε διπλό κλικ στη συντόμευση, εκτελούνταν μια εντολή που αναζητά το shortcut file για μια συγκεκριμένη συμβολοσειρά που περιέχει Visual Basic Script code, προσθέτει τον κώδικα που βρέθηκε σε ένα νέο αρχείο VBS και εκτελεί αυτό το αρχείο VBS.
Ωστόσο, αυτή η εντολή περιείχε ένα σφάλμα και έτσι δεν δημιουργούνταν το αρχείο VBS, όπως εξηγήθηκε από την ερευνητική ομάδα Cryptolaemus.
Δείτε επίσης: Google Project Zero: Εντοπίζουμε περισσότερα zero-day bugs από ποτέ
Ο ερευνητής της Cryptolaemus, Joseph Roosen, είπε στο BleepingComptuer ότι οι χειριστές του Emotet διέκοψαν την παραπάνω phishing καμπάνια όταν ανακάλυψαν ότι το σφάλμα εμπόδιζε τους χρήστες να μολυνθούν.
Δυστυχώς, οι επιτιθέμενοι φαίνεται πως διόρθωσαν το θέμα και το Emotet malware άρχισε να διανέμεται ξανά μέσω κακόβουλων emails που περιέχουν αρχεία zip.
Η εταιρεία ασφαλείας email Cofense είπε στο BleepingComputer ότι τα ονόματα των συνημμένων αρχείων στις νέες καμπάνιες Emotet είναι:
form.zip
Form.zip
Electronic form.zip
PO 04252022.zip
Form - Apr 25, 2022.zip
Payment Status.zip
BANK TRANSFER COPY.zip
Transaction.zip
ACH form.zip
ACH payment info.zipΕάν λάβετε ένα email με παρόμοια συνημμένα που προστατεύονται με κωδικό πρόσβασης, μην τα ανοίξετε. Επικοινωνήστε άμεσα με τους διαχειριστές του δικτύου ή το προσωπικό IT ασφάλειας και ζητήστε τους να εξετάσουν το συνημμένο για να προσδιορίσουν εάν είναι κακόβουλο ή όχι.
Δείτε επίσης: Windows 11 ασφάλεια: Πόσο ασφαλής είναι ο κωδικός πρόσβασης σας;
Emotet malware
Το Emotet malware αναγνωρίστηκε για πρώτη φορά από ερευνητές ασφαλείας το 2014. Σχεδιάστηκε αρχικά ως banking trojan που προσπαθούσε να εισχωρήσει στον υπολογιστή και να κλέψει ευαίσθητες και ιδιωτικές πληροφορίες. Σε μεταγενέστερες εκδόσεις του λογισμικού προστέθηκαν και άλλες κακόβουλες δυνατότητες, συμπεριλαμβανομένης της εγκατάστασης πρόσθετων malware.
Ωστόσο, μια διεθνής αστυνομική επιχείρηση κατάφερε πέρυσι να “καταστρέψει” το Emotet. Η Europol, το FBI, η Εθνική Υπηρεσία Εγκλήματος του Ηνωμένου Βασιλείου και άλλες αστυνομικές υπηρεσίες συνεργάστηκαν, με αποτέλεσμα να αναλάβουν τον έλεγχο της υποδομής του malware και να διακόψουν τη λειτουργία του.
Τα καλά νέα όμως δεν κράτησαν για πολύ. Το Νοέμβριο του 2021, ερευνητές είδαν το TrickBot malware να εγκαθιστά σε μολυσμένες συσκευές ένα loader για το Emotet. Οι φορείς απειλών χρησιμοποίησαν μια μέθοδο που ονομάζεται “Operation Reacharound” για να ξαναχτίσουν το botnet Emοtet χρησιμοποιώντας την υπάρχουσα υποδομή του TrickBot. Σταδιακά, το Emotet άρχισε να αναπτύσσεται ξανά και να στοχεύει χρήστες με διάφορους τρόπους.
Πηγή: Bleeping Computer