Το Emotet botnet, το δημοφιλές malware που έχει επιστρέψει στο τοπίο απειλών τους τελευταίους μήνες (είχε καταργηθεί για ένα διάστημα χάρη σε συντονισμένη επιχείρηση των Europol, FBI, της Εθνικής Υπηρεσίας Εγκλήματος του Ηνωμένου Βασιλείου και άλλων αστυνομικών υπηρεσιών), προσπαθεί τώρα να μολύνει χρήστες με ένα credit card stealer module, ένα module που έχει δημιουργηθεί για να συλλέγει στοιχεία πιστωτικών καρτών που είναι αποθηκευμένα στα Google Chrome user profiles.
Δείτε επίσης: Shields: Παραβίαση δεδομένων επηρεάζει 2 εκατομμύρια Αμερικανούς
Αφού κλέψει τα στοιχεία της πιστωτικής κάρτας (όνομα, μήνας και έτος λήξης, αριθμοί κάρτας), το κακόβουλο λογισμικό θα τα στείλει σε command-and-control (C2) servers, διαφορετικούς από αυτούς που χρησιμοποιεί το Emotet card stealer module.
“Στις 6 Ιουνίου, η Proofpoint παρατήρησε ένα νέο #Emotet module“, αποκάλυψε η ομάδα του Proofpoint Threat Insights.
“Προς έκπληξή μας ήταν ένα module κλοπής στοιχείων πιστωτικών καρτών που στόχευε αποκλειστικά τον Google Chrome browser. Μετά τη συγκέντρωση των στοιχείων της κάρτας, γίνεται μεταφορά τους σε C2 servers“.
Αυτή η αλλαγή συμπεριφοράς έρχεται μετά από αυξανόμενη δραστηριότητα του Emotet malware κατά τον Απρίλιο, όπου παρατηρήθηκε και μετάβαση σε 64-bit modules, σύμφωνα με την ερευνητική ομάδα Cryptolaemus.
Δείτε επίσης: Black Basta ransomware: Η έκδοση Linux στοχεύει διακομιστές VMware ESXi
Μία εβδομάδα αργότερα, το Emotet άρχισε να χρησιμοποιεί Windows shortcut files (.LNK) για να εκτελεί εντολές PowerShell για να μολύνει τις συσκευές των θυμάτων. Προηγουμένως, το malware χρησιμοποιούσε συχνά κακόβουλες μακροεντολές σε έγγραφα Microsoft Office, αλλά αυτές είναι πλέον απενεργοποιημένες από προεπιλογή, από τις αρχές Απριλίου 2022.
Η επιστροφή του Emotet
Το Emotet malware εμφανίστηκε πρώτη φορά το 2014. Χρησιμοποιούνταν σε επιθέσεις κυρίως ως banking trojan. Ωστόσο, αργότερα απέκτησε νέα χαρακτηριστικά και σύντομα εξελίχθηκε σε ένα από τα πιο δημοφιλή botnet που χρησιμοποιεί η ομάδα απειλών TA542 (γνωστή και ως Mummy Spider) για την παράδοση malware payloads δεύτερου σταδίου.
Το malware επιτρέπει επίσης στους χειριστές του να κάνουν πολλά πράγματα, όπως να κλέβουν δεδομένα χρηστών, να πραγματοποιούν reconnaissance σε δίκτυα που έχουν παραβιαστεί και να μετακινούνται laterally σε ευάλωτες συσκευές.
Σε πολλές περιπτώσεις, το Emotet malware έχει χρησιμοποιηθεί για την εγκατάσταση των Qbot και Trickbot malware trojan payloads σε υπολογιστές των θυμάτων που έχουν παραβιαστεί. Αυτά με τη σειρά τους χρησιμοποιούνται για την ανάπτυξη πρόσθετου κακόβουλου λογισμικού, συμπεριλαμβανομένων Cobalt Strike beacons και ransomware όπως το Ryuk και το Conti.
Δείτε επίσης: NSA και FBI: Ποια ελαττώματα χρησιμοποιούν οι χάκερ για να στοχεύσουν VPNs
Όπως είπαμε και παραπάνω, μια συντονισμένη επιχείρηση από αστυνομικές αρχές οδήγησε σε κατάργησή του. Αυτό έγινε στις αρχές του 2021. Ωστόσο, το Νοέμβριο του ίδιου έτους, το botnet επανήλθε χρησιμοποιώντας την ήδη υπάρχουσα υποδομή του TrickBot. Ερευνητές ασφαλείας εντόπισαν ότι το TrickBot χρησιμοποιούνταν για την προώθηση ενός Emotet loader.
Όπως αποκάλυψε η ESET τώρα, παρατηρείται έντονη δραστηριότητα του Emotet malware από την αρχή του 2022. Επομένως, η απειλή που λέγεται Emotet, έχει επανέλθει για τα καλά και βλέπουμε ότι χρησιμοποιεί συνεχώς νέες μεθόδους μόλυνσης, όπως συμβαίνει τώρα με την κλοπή των στοιχείων πιστωτικών καρτών που είναι αποθηκευμένα στο Google Chrome.
Πηγή: www.bleepingcomputer.com