Малвер Емотет се вратио!

После затишја од скоро два мјесеца, ботнет Емотет се вратио измијењен и са кампањом која дневно погађа 100 000 циљева. Емотет се појавио 2014. године као банкарски тројанац и од тад се континуирано развијао у механизам за испоруку других малвера. Емотет може да инсталира низ малвера на рачунаре жртава, укључујуц́и малвере који краду информације, малвере за прикупљање е-маилова, механизме самопропагације и рансомwаре. Последњи пут је виђен у октобру, а прије тога у јулу, када је испоручивао тројанца Трицкбот.
Емотет ботнет је један од најпродуктивнијих пошиљалаца злонамјерних е-маилова када је активан, али зна да мирује недељама или мјесецима. У октобру је Емотет најчешц́е испоручивао ТрицкБот, Qакбот и ЗЛоадер, а сада испоручује ТрицкБот.
Малвер ТрицкБот је познати софистицирани тројанац који се први пут појавио 2016. године као банкарски тројанац, попут Емотета. Он се у међувремену трансформисао и добио нове функције како би се избјегло откривање и унаприједили механизми инфекције. Уређаји заражени ТрицкБотом постају дио ботнета који нападачи користе за учитавање малвера друге фазе. Типичне последице инфекција ТрицкБотом су преузимање банковних рачуна и напади рансомwареа. Најновија његова функционалност служи за преглед УЕФИ/БИОС фирмwареа циљаних система. То је озбиљан препород након октобарског уклањања инфраструктуре малвера за који су заслужни Microsoft и његови партнери у тој акцији. Неколико антивирус компанија примијетило је најновију кампању, а Проофпоинт је на Тwиттеру објавио да су примијетили више од 100 000 е-маилова на енглеском, њемачком, шпанском, италијанском и другим језицима, а да се као мамци користе Wорд документи у прилогу, лозинкама заштићени зип фајлови и УРЛ-ови.
Истраживачи из Пало Алто Нетwоркс-а су примијетили да се дистрибутери малвера убацују у постојец́у е-маил преписку, одговарајуц́и на стваран е-маил која је послала жртва. Прималац нема разлога да мисли да е-маил крије нешто лоше. Нови малициозни документ који крије Емотет је различит, јер се вјероватно жели да жртве не примијете да су управо заражене. Документ и даље садржи злонамјерни макро код за инсталирање Емотета и још увек се тврди да је „заштиц́ени“ документ који захтијева да корисници омогуц́е макро наредбе како би се отворио. Стара верзија нец́е дати видљив одговор након омогуц́авања макро наредби, што жртву може учинити сумњичавом. Нова верзија креира дијалошки оквир који каже да је „Wорд наишао на грешку при покушају отварања фајла“. Ово даје кориснику објашњење зашто не види очекивани садржај и повец́ава вјероватноц́у да ц́е игнорисати цијели инцидент док Емотет ради у позадини. Емотет највише плаши због удруживања са другим криминалцима, посебно онима који раде са рансомwареом.
Иако неки нападачи поштују празнике, то је такође одлична прилика за покретање нових напада када многе компаније имају ограничени број запослених који раде. Ова година је још критичнија због пандемије и недавног дебакла СоларWиндса.
Малwаребyтес зато позива организације да буду посебно опрезне и наставе да предузимају кораке да осигурају своје мреже, посебно када је ријеч о контроли приступа.