Μετά από μια τρίμηνη παύση, το Emotet malware εμφανίστηκε και πάλι και στέλνει κακόβουλα email από το πρωί της Τρίτης μολύνοντας συσκευές σε όλο τον κόσμο.
Το Emotet είναι ένα από τα πιο γνωστά κακόβουλα λογισμικά. Διανέμεται μέσω email που περιέχουν κακόβουλα συνημμένα Microsoft Word και Excel. Όταν οι χρήστες ανοίγουν αυτά τα έγγραφα και ενεργοποιούν τις μακροεντολές, το Emotet DLL κατεβαίνει και φορτώνεται στη μνήμη.
Μόλις φορτωθεί το Emotet, παραμένει απαρατήρητο και περιμένει οδηγίες από έναν απομακρυσμένο command and control server.
Το κακόβουλο λογισμικό χρησιμοποιείται για την κλοπή email και επαφών των θυμάτων για χρήση σε μελλοντικές καμπάνιες. Επίσης, μπορεί να κατεβάσει πρόσθετα payloads όπως το Cobalt Strike ή άλλο κακόβουλο λογισμικό που συνήθως οδηγεί σε επιθέσεις ransomware.
Δείτε επίσης: Η ομάδα hacking Sharp Panda χρησιμοποιεί μια παραλλαγή του malware framework “Soul”
Το Emotet malware θεωρούνταν το πιο διανεμημένο κακόβουλο λογισμικό στο παρελθόν. Σταδιακά, η διάδοσή του μειώθηκε και τον Ιανουάριο του 2021 οι αρχές κατάφεραν να καταστρέψουν την υποδομή του. Το malware εξαφανίστηκε για λίγους μήνες, αλλά επέστρεψε το Νοέμβριο του ίδιου έτους. Έκτοτε έχουν εντοπιστεί διάφορες νέες εκστρατείες, με την πιο πρόσφατη το Νοέμβριο του 2022. Εκείνη η εκστρατεία διήρκεσε μόνο δύο εβδομάδες.
Το Emotet επιστρέφει το 2023
Η εταιρεία κυβερνοασφάλειας Cofense και η ομάδα παρακολούθησης της λειτουργίας τους Emotet, Cryptolaemus, προειδοποίησαν ότι το botnet Emotet ξανάρχισε να στέλνει email σε ανυποψίαστα θύματα.
Η Cryptolaemus αναφέρθηκε στη νέα εκστρατεία στο Twitter.
Η Cofense επιβεβαίωσε επίσης στο BleepingComputer ότι η spam καμπάνια ξεκίνησε στις 7:00 π.μ. ET. Ωστόσο, προς το παρόν δεν έχουν σταλεί πολλά emails.
“Το πρώτο email που είδαμε ήταν γύρω στις 7 π.μ. EST. Ο όγκος παραμένει χαμηλός αυτή τη στιγμή, καθώς συνεχίζουν να αναδημιουργούν και να συγκεντρώνουν νέα credentials για να αξιοποιήσουν και να στοχεύσουν address books“, είπε η Cofense στο BleepingComputer.
Οι επιτιθέμενοι πίσω από τη νέα καμπάνια Emotet χρησιμοποιούν emails που υποτίθεται ότι είναι τιμολόγια.
Σε αυτά τα emails περιέχονται αρχεία ZIP με έγγραφα του Word που έχουν μέγεθος μεγαλύτερο από 500 MB. Είναι φτιαγμένα έτσι ώστε να δυσκολεύουν την ανίχνευση από λύσεις ασφαλείας.
Τα κακόβουλα έγγραφα του Microsoft Word χρησιμοποιούν το ‘Red Dawn’ document template του Emotet, προτρέποντας τους χρήστες να ενεργοποιήσουν το περιεχόμενο του εγγράφου για να το δουν σωστά.
Δείτε επίσης: Acer παραβίαση δεδομένων: Πωλούνται δεδομένα σε hacking forum
Αυτά τα έγγραφα περιέχουν μακροεντολές που θα κάνουν λήψη του προγράμματος φόρτωσης Emotet ως DLL από παραβιασμένους ιστότοπους.
Όταν γίνει λήψη, το Emotet θα αποθηκευτεί σε έναν φάκελο με τυχαία ονομασία κάτω από το %LocalAppData% και θα εκκινηθεί χρησιμοποιώντας το regsvr32.exe.
Όπως το έγγραφο του Word, το Emotet DLL έχει επίσης ενισχυθεί ώστε να έχει μέγεθος 526 MB για να εμποδίζει τη δυνατότητα εντοπισμού του ως κακόβουλου από λογισμικό προστασίας από ιούς.
Αυτή η τεχνική αποφυγής φαίνεται να είναι επιτυχημένη. Μια σάρωση στο VirusTotal έδειξε ότι το Emotet malware εντοπίστηκε μόνο από έναν προμηθευτή ασφαλείας.
Μόλις εκτελεστεί, το Emotet εκτελείται στο παρασκήνιο, αναμένοντας εντολές, οι οποίες πιθανότατα θα εγκαταστήσουν περαιτέρω payloads στη συσκευή του θύματος. Όπως είπαμε και παραπάνω αυτά τα payloads μπορούν να χρησιμοποιηθούν για απομακρυσμένη πρόσβαση στη συσκευή, η οποία στη συνέχεια χρησιμοποιείται για περαιτέρω εξάπλωση στο παραβιασμένο δίκτυο. Αυτές οι επιθέσεις συνήθως οδηγούν σε κλοπή δεδομένων και επιθέσεις ransomware.
Σύμφωνα με την Cofense, αυτή η νέα εκστρατεία φαίνεται να κλέβει απλά δεδομένα (για μελλοντικές επιθέσεις).
Πρόσφατες αλλαγές της Microsoft βοηθούν στην προστασία έναντι του Emotet
Ενώ το Emotet προσπαθεί να αναδομήσει το δίκτυό του, η τρέχουσα μέθοδος ενδέχεται να μην έχει μεγάλη επιτυχία μετά από κάποιες πρόσφατες αλλαγές της Microsoft.
Τον Ιούλιο του 2022, η Microsoft απενεργοποίησε τις μακροεντολές από προεπιλογή στα έγγραφα του Microsoft Office που λαμβάνονται από το Διαδίκτυο. Λόγω αυτής της αλλαγής, οι χρήστες που ανοίγουν ένα κακόβουλο έγγραφο Emotet θα λάβουν ένα μήνυμα που θα δηλώνει ότι οι μακροεντολές είναι απενεργοποιημένες επειδή η πηγή του αρχείου δεν είναι αξιόπιστη.
Ο ανώτερος αναλυτής ευπαθειών της ANALYGENCE, Will Dormann, είπε στο BleepingComputer ότι αυτή η αλλαγή επηρεάζει επίσης τα συνημμένα που αποθηκεύονται από μηνύματα ηλεκτρονικού ταχυδρομείου.
Δείτε επίσης: Ευπάθειες της TPM 2.0 βάζουν σε κίνδυνο cryptographic keys!
Επομένως, οι περισσότεροι χρήστες μπορούν να παραμείνουν προστατευμένοι, εκτός εάν καταβάλουν προσπάθεια για να ενεργοποιήσουν τις μακροεντολές.
Λόγω αυτών των αλλαγών, πολλοί εγκληματίες του κυβερνοχώρου έχουν απομακρυνθεί από έγγραφα Word και Excel και κάνουν κατάχρηση άλλων μορφών αρχείων, όπως Microsoft OneNote, εικόνες ISO και αρχεία JS. Ίσως και οι χειριστές του Emotet malware να κάνουν μια τέτοια αλλαγή για να αυξήσουν τις πιθανότητες επιτυχίας των επιθέσεών τους.
Αν και το Emotet κάνει συχνά διαλείμματα, η επανεμφάνισή του δείχνει ότι εξακολουθεί να αποτελεί σοβαρή απειλή για τους χρήστες και τις επιχειρήσεις. Είναι σημαντικό για τις επιχειρήσεις να λάβουν μέτρα για την προστασία τους από αυτόν τον τύπο επίθεσης, συμπεριλαμβανομένης της εφαρμογής ισχυρών μέτρων ασφαλείας, όπως τείχη προστασίας, λογισμικό προστασίας από ιούς, λύσεις φιλτραρίσματος ηλεκτρονικού ταχυδρομείου κ.λπ. Επίσης, σημαντική είναι και η εκπαίδευση των εργαζομένων σχετικά με τους κινδύνους που ενέχει αυτός ο τύπος κακόβουλου λογισμικού, ώστε να γνωρίζουν πώς να εντοπίζουν πιθανές απειλές και να λαμβάνουν μέτρα για την προστασία τους από αυτές.
Πηγή: www.bleepingcomputer.com