Po trzymiesięcznej przerwie złośliwe oprogramowanie Emotet wznowiło we wtorek rano wysyłanie niebezpiecznych wiadomości e-mail, jednocześnie odbudowując swoją infrastrukturę i zainfekowane urządzenia na całym świecie. Załączniki wiadomości e-mail zawierające zainfekowane wersje programów Microsoft Word i Excel są głównym wektorem rozprzestrzeniania niesławnego złośliwego oprogramowania Emotet. Biblioteka Emotet DLL zostanie pobrana i załadowana do pamięci, gdy użytkownik otworzy jeden z tych dokumentów z włączonymi makrami.
Po zainstalowaniu Emotet będzie cierpliwie czekać na dalsze instrukcje ze swojego serwera C&C. Niestety wróciło.
Złośliwe oprogramowanie Emotet 2023
Botnet Emotet wznowił wysyłanie wiadomości e-mail, zgodnie z ostrzeżeniami firmy zajmującej się bezpieczeństwem cybernetycznym Kofeina oraz organizacja śledząca Emotet Cryptolaemus.
Przebudzenie Emotetu Od 12:00 UTC Ivan w końcu dostał E4 do wysyłania spamu. Widzimy szablony Red Dawn, które są bardzo duże i zajmują ponad 500 MB. Obecnie obserwuje się przyzwoity przepływ spamu. Septet adresów URL ładunków i brzydkich makr. Próbka: https://t.co/fWZ8n3PlFi 1/3 pic.twitter.com/r5uuiECWnp
— Cryptolaemus (@Cryptolaemus1) 7 marca 2023 r
Zgodnie z potwierdzeniem od Cofense do Piszczący Komputerkampania spamowa rozpoczęła się o godzinie 7:00 czasu wschodniego, a jej liczba jest obecnie stosunkowo niewielka.
„Pierwszy e-mail, który zobaczyliśmy, był około 7 rano czasu wschodniego. W tej chwili wolumen pozostaje niski, ponieważ kontynuują odbudowę i gromadzą nowe referencje, aby wykorzystać i kierować książki adresowe”.
-Kawiarnia
Jak wygląda złośliwe oprogramowanie Emotet?
Poniżej znajduje się przykład, w jaki sposób cyberprzestępcy zmieniają taktykę z poprzedniej kampanii, wysyłając e-maile, które wyglądają na faktury zamiast łańcuchów odpowiedzi.
Po otwarciu jednego z takich e-maili zwykle znajduje się plik ZIP zawierający dokumenty programu Word o rozmiarze powyżej 500 MB. Uwzględniając niepotrzebne dane, zwiększają rozmiar pliku i utrudniają wykrywanie przez oprogramowanie antywirusowe.
Do przygotowania tych plików.docx użyto szablonu „Red Dawn” firmy Emotet, a czytelnicy muszą włączyć zawartość przed ich wyświetleniem. Zalecamy, abyś to zrobił nie klikać na tym.
Czy wiesz, że hack Acera został potwierdzony? Hakerzy wystawili na sprzedaż 160 GB firmowych danych!
Microsoft ratuje sytuację
Po ostatnich zmianach wprowadzonych przez Microsoft obecna metoda może nie być zbyt skuteczna, ponieważ Emotet odbudowuje swoją sieć.
Dokumenty pakietu Office pobrane z Internetu nie zawierają już domyślnie makr od lipca 2022 r.
Użytkownicy będą teraz witani ostrzeżeniem wyjaśniającym, że makra zostały wyłączone, ponieważ pochodzenie pliku nie może zostać zweryfikowane podczas otwierania dokumentu Emotet.
Dzięki tej funkcji osoby, które otrzymują e-maile Emotet, są mniej skłonne do przypadkowego włączenia makr, chyba że podejmą w tym celu odpowiednie kroki.
Source: Złośliwe oprogramowanie Emotet powraca, uważaj na swoje e-maile