Активность ботнета Emotet выросла в 100 раз: чем опасна угроза

Следующая новость

Компания ESET ― лидер в области информационной безопасности ― сообщает о повышенной активности ботнета Emotet, который массово рассылает пользователям спам-сообщения с опасными файлами. В частности, показатель обнаружения угрозы за первые 4 месяца 2022 года вырос более чем в 100 раз. Заражение устройства жертвы происходило после открытия документа Word и нажатия кнопки «Включить содержимое», которая запускала вредоносные макросы.

Данные ESET.

Рис.1. Обнаружение Emotet по данным телеметрии ESET.

В чем опасность Emotet?

В первый раз угроза была зафиксирована как банковский троян в июне 2014 года. Она сразу начала продавать доступ к скомпрометированным системам другим группам киберпреступников. Таким образом, после запуска на компьютере Emotet, как правило, загружал другие виды вредоносных программ.

Emotet имеет модульную структуру программы с основным компонентом, который распространяется через спам-письма с вредоносными документами Microsoft Word. Затем Emotet использует дополнительные модули, которые позволяют:

  • дальнейшее распространение через спам-письма;
  • распространение через ближайшие незащищенные сети Wi-Fi, заражая подключенных пользователей;
  • подбор имен пользователей и паролей для совместных сетевых ресурсов;
  • преобразование скомпрометированных систем в прокси-серверы в своей командной инфраструктуре;
  • несанкционированное использование легитимных приложений, которые могут восстанавливать пароли к популярным почтовым клиентам и браузерам соответственно;
  • кража адресов и имен электронной почты из Microsoft Outlook;
  • похищение всех сообщений и вложений электронной почты из скомпрометированных систем.

В 2018 году Emotet начал использовать новую технику, в частности, похищать письма из почтовых ящиков жертв и использовать их в своих атаках. Такой подход позволяет спам-сообщению выглядеть более правдоподобно и, соответственно, повышает вероятность открытия вложения пользователем.

Как только жертва открывает документ Word и нажимает «Включить содержимое», запускаются вредоносные макросы, которые загружают Emotet.

В то время как Emotet возобновил свою вредоносную деятельность, массово распространяя спам-письма в марте и апреле 2022 года, компания Microsoft приняла решение об отказе от кнопки «Включить содержимое». После этого авторы Emotet перешли к экспериментам с разными методами, чтобы заменить использование макросов для распространения вредоносных программ на начальном этапе атаки.

Пример спам-письма.

Как киберпреступники меняют тактику?

В частности, в апреле-мае 2022 года Emotet вместо типичного документа Microsoft Word использовал файл ярлыка во вредоносном вложении. После двойного нажатия этот файл запускал скрипт PowerShell, который загружал Emotet.

Кроме этого, в апреле киберпреступники заманивали жертв открыть ZIP-архив, который сохраняется в OneDrive и содержит файлы Microsoft Excel Add-in (XLL) для добавления специальных функций в Excel. При распаковке и загрузке эти файлы удалялись и запускался Emotet.

В то время как в конце 2021 года после возобновления деятельности ботнета злоумышленники использовали инструмент Cobalt Strike Beacon, что позволяло им быстрее разворачивать финальный компонет.

Что делать для защиты от подобных угроз?

Для ИТ-администраторов организаций, которые используют макросы в качестве рабочих процессов, следует настроить политики Office по обработке макросов. Кроме того, стоит пересмотреть безопасность компании, в частности, усилить защиту от угроз, которые распространяются через почту, благодаря:

И хотя отказ от кнопки «Включить содержимое» улучшит защиту от вредоносных макросов, такие угрозы, как Emotet, продолжат менять свои тактики. Поэтому всегда следует быть внимательными при получении электронных писем и не торопиться открывать подозрительные документы в них.

 

Читайте также:

Как хакеры могут взломать вашу почту и что делать для защиты

Вредоносный или безопасный сайт: как проверить и на что обращать внимание