HACKING

Emotet: Επέστρεψε και “χτυπά” 100.000 mailboxes την ημέρα

This post was originally published on this site

Μετά από σχεδόν δύο μήνες, το Emotet botnet επέστρεψε με μια νέα εκστρατεία που στοχεύει 100.000 χρήστες την ημέρα.

Το Emotet ξεκίνησε ως banking trojan το 2014 και έκτοτε εξελίσσεται συνεχώς, με αποτέλεσμα να χρησιμοποιείται για διάφορες κακόβουλες δραστηριότητες. Πλέον, είναι σε θέση να εγκαθιστά διάφορα malware στα μηχανήματα των θυμάτων (info-stealers, email harvesters, ransomware κλπ). Τελευταία φορά, εμφανίστηκε τον Οκτώβριο και προηγουμένως τον Ιούλιο. Πριν από αυτό, τον Φεβρουάριο, χρησιμοποιήθηκε σε μια εκστρατεία που έστελνε μηνύματα SMS που υποτίθεται ότι προέρχονταν από τράπεζες.

Σύμφωνα με τον Brad Haas, ερευνητή της Cofense, το Emotet botnet είναι αρκετά παραγωγικό στην αποστολή κακόβουλων emails, όμως μπορεί να υπάρξουν εβδομάδες ή και μήνες πλήρους αδράνειας.Φέτος, ένα τέτοιο κενό κράτησε από τον Φεβρουάριο έως τα μέσα Ιουλίου, το μεγαλύτερο διάλειμμα που είχε δει η Cofense τα τελευταία χρόνια. Από τότε, παρατηρήθηκε τακτική δραστηριότητα του Emotet μέχρι τα τέλη Οκτωβρίου, όπου και υπήρξε πάλι διακοπή“.

Ωστόσο, το Emotet επέστρεψε ξανά. Αρκετές εταιρείες ασφαλείας εντόπισαν την τελευταία εκστρατεία. Η Proofpoint ανέφερε στο Twiiter: “Βλέπουμε 100k + μηνύματα στα Αγγλικά, Γερμανικά, Ισπανικά, Ιταλικά και σε άλλες γλώσσες“. Σύμφωνα με την εταιρεία, οι hackers χρησιμοποιούν την τεχνική Thread hijacking με κακόβουλα Word συνημμένα, zip αρχεία και διευθύνσεις URL.

Το Thread hijacking είναι μια νέα τεχνική του Emotet, σύμφωνα με τους ερευνητές της Palo Alto Networks. Οι χειριστές του botnet μπαίνουν σε μια υπάρχουσα συνομιλία μέσω email, απαντώντας σε ένα πραγματικό email που αποστέλλεται από έναν στόχο. Ο παραλήπτης δεν έχει κανένα λόγο να πιστεύει ότι το email είναι κακόβουλο.

Ερευνήτρια της Proofpoint είπε: “Η ομάδα μας εξακολουθεί να εξετάζει τα νέα δείγματα και μέχρι στιγμής βρήκαμε μόνο μικρές αλλαγές. Για παράδειγμα, το Emotet binary χρησιμοποιείται τώρα ως DLL αντί για .exe“. “Παρατηρούμε εκατοντάδες χιλιάδες κακόβουλα email ανά ημέρα, που σχετίζονται με το Emotet“.

Η ερευνήτρια πρόσθεσε ότι το πιο ενδιαφέρον πράγμα σε αυτή τη νέα Emotet εκστρατεία, είναι ο χρόνος.

Συνήθως βλέπουμε ότι το Emotet παύει να λειτουργεί από τις 24 Δεκεμβρίου έως τις αρχές Ιανουαρίου“, σημείωσε. “Εάν συνεχίσουν αυτό το μοτίβο, αυτή η πρόσφατη εκστρατεία θα είναι απίστευτα σύντομη“.

Οι ερευνητές του Malwarebytes σημείωσαν εν τω μεταξύ ότι οι hackers χρησιμοποιούν διαφορετικά θέματα για να εξαπατήσουν τους χρήστες και να τους κάνουν να ενεργοποιήσουν κακόβουλες μακροεντολές. Φυσικά, από αυτά τα θέματα δεν θα μπορούσε να λείπει ο COVID-19. Οι ερευνητές παρατήρησαν, επίσης, ότι η συμμορία Emotet φορτώνει το payload της με ένα ψεύτικο μήνυμα σφάλματος (error).

Η ομάδα της Cofense παρατήρησε την ίδια δραστηριότητα, σημειώνοντας ότι σηματοδοτεί μια εξέλιξη για τη συμμορία Emotet.

Το νέο Emotet maldoc περιλαμβάνει μια αξιοσημείωτη αλλαγή, που πιθανότατα στοχεύει στο να μην καταλάβουν τα θύματα ότι μόλις μολύνθηκαν“, είπε. “Το έγγραφο εξακολουθεί να περιέχει κακόβουλες μακροεντολές για την εγκατάσταση του Emotet και εξακολουθεί να ισχυρίζεται ότι είναι ένα «προστατευμένο» έγγραφο που απαιτεί από τους χρήστες να ενεργοποιήσουν τις μακροεντολές για να το ανοίξουν. Η παλιά έκδοση δεν θα έδινε ορατή απάντηση μετά την ενεργοποίηση των μακροεντολών, κάτι που μπορεί να δημιουργούσε υποψίες στο θύμα. Η νέα έκδοση δημιουργεί ένα παράθυρο διαλόγου που λέει ότι “Το Word αντιμετώπισε σφάλμα κατά την προσπάθεια ανοίγματος του αρχείου”. Αυτό δίνει στον χρήστη μια εξήγηση για το λόγο για τον οποίο δεν βλέπει το περιεχόμενο και έτσι είναι πιο πιθανό να αγνοήσει το όλο συμβάν ενώ το Emotet εκτελείται στο παρασκήνιο“.

Σύμφωνα με τους ερευνητές, ορισμένα από τα hijacked threads ζητούν από τους παραλήπτες να ανοίξουν ένα συνημμένο .zip και να δώσουν έναν κωδικό πρόσβασης.

Οι διαχειριστές συστημάτων πρέπει να είναι σε επιφυλακή. “Πολλοί εγκληματίες θεωρούν τις διακοπές χρυσή ευκαιρία για να ξεκινήσουν νέες επιθέσεις, καθώς πολλές εταιρείες έχουν περιορισμένο προσωπικό. Φέτος, τα πράγματα είναι πιο κρίσιμα, λόγω της πανδημίας και του πρόσφατου hack της SolarWinds. Προτρέπουμε τους οργανισμούς να είναι ιδιαίτερα προσεκτικοί και να συνεχίζουν να λαμβάνουν μέτρα για την ασφάλεια των δικτύων τους“, είπαν οι ερευνητές.

Πηγή: Threatpost

https://www.secnews.gr/security/feed

%d bloggers like this: