Po miesiącach ciszy, Emotet wraca z plagą złośliwych e-maili

Plaga złośliwych e-maili bierze na cel USA, Niemcy, Polskę, Włochy i Wielką Brytanię, zauważono aktywność Emotet, programu ładującego złośliwe oprogramowanie

Naukowcy odkryli działalność Emotet, kampanię malware, która obrała na cel firmy, instytucje rządowe i indywidualnych użytkowników z całego świata. Po spokoju na początku lata, bankowe malware przerwało ciszę 22-go sierpnia, kiedy zauważono, że serwery C2 aktywnie odpowiadają na żądania. Takie zachowanie przykuło uwagę naukowców, którzy odkryli podejrzaną kampanię.

Ataki malspam wykorzystują temat „Porad Dotyczących Płatności” i podobnych tekstów. W ten sposób, chce się zmusić użytkowników do otwarcia załączników ze szkodliwym makro. To uruchamia polecenie, które pobierze Emotet ze szkodliwych stron. We większości przypadków, strony te bazują na WordPress.

Lista stron internetowych skompromitowanych szkodliwą kampanią Emotet:

• customernoble.com
• taxolabs.com
• www.mutlukadinlarakademisi.com
• www.holyurbanhotel.com
• www.biyunhui.com
• nautcoins.com
• keikomimura.com
• charosjewellery.co.uk
• think1.com
• broadpeakdefense.com
• lecairtravels.com.

Kampania wirusowa Emotet rośnie w siłę: biorą na cel dziesiątki tysięcy e-maili

Według wielu raportów, malware atakuje prawie 66 000 e-maili i wykorzystuje 30 000 nazw domeny. Pragnie głównie zainfekować użytkowników z Niemiec i Polski. Szkodliwą kampanię trojana Emotet zauważono w poniedziałek. Po zdobyciu skradzionych e-maili, twórcy wirusa wysyłają wiadomości z plikami exe., linkami do pobrania, a także innymi szkodliwymi komponentami, które mają dostarczyć Emotet.

Następnie, malware działa jako downloader dla innych wirusów, takich jak na przykład Ryuk ransomware.

From home users all the way up to government owned domains. The sender list includes the same dispersion as the targets. Many times we’ve seen precise targeting using a sender who’s contact list appears to have been scraped and used as the target list for that sender. This would include b2b as well as gov to gov.

Najpierw Emotet był trojanem bankowym, a następnie został przepisany, by działać jako ładowacz malware. Trojan jest jednym z największych botnetów, a jego powrotu się spodziewano. Aktywność na serwerach, którą zauważono w sierpniu, spowodowała całkowite przywrócenie łączności między zainfekowanymi maszynami i maksymalnie zwiększyło rozmiar botnetu.

Różne komendy dla ofiar z różnych części świata

Same powiadomienie e-mail, jak to zwykle ma w zwyczaju malspam, zawiera temat związany z finansami i wydaje się być kontynuacją poprzedniej konwersacji. Po próbkach malspam z Polski i Niemiec widać, że nadawca wykorzystuje jeden z poniższych scenariuszy:

• Ostrzeżenie na temat zmian adresu e-mail
• Informacja o fakturze
• Twierdzenie, że znaleziono problemy związane z rachunkiem

Wszystkie te scenariusze wykorzystywane są, by osoba odbierająca e-mail otworzyła załączony dokument, co uruchomiłoby kod makro z wirusem.

Po dłuższej analizie kampanii malware, okazało się, że ten wariant Emotet dostarcza wiadomości z załączeniami odnoście Microsoft Office, twierdząc, iż licencja na wykorzystywanie Word'a niedługo się skończy i nie będzie można włączyć programu po 20-tym września. Taktyka, jak ta, ma pomóc w podpuszczeniu użytkowników do uruchomienia makro, czy innej zawartości, i instalacji Emotet na komputerze.

Dla Włoskich użytkowników, e-mail zawiera temat „Numero Fattura 2019…” Po uruchomieniu, makro włącza komendę PowerShell, która wykorzystuje zhakowany link URL, do strony, z której pobierany jest szkodliwy wirus. Botnet gotowy jest do ataku na różne firmy, więc organizację powinny wiedzieć, że Emotet wraca do akcji.