Μια νέα spam εκστρατεία εξαπλώνει τo malware Emotet σε ανυποψίαστα θύματα μέσω email όπως ανακάλυψε η ESET Research τον Νοέμβριο.
Το πολύ γνωστό malware Emotet, ενημερώθηκε πρόσφατα με μια νέα ηλεκτρονική μονάδα απομάκρυνσης email για τη συλλογή email από μολυσμένα συστήματα, όπως παρατηρούν οι ερευνητές ασφάλειας της Kryptos Logi.
Το malware Emotet μπορεί επίσης να κλέψει τις ιδιόκτητες πληροφορίες, τα credentials και τα προσωπικά στοιχεία αναγνώρισης (PII), τα οποία αποτελούν την κύρια αιτία κλοπών ταυτότητας.
Επιπλέον, το Emotet είναι επίσης γνωστό ότι χρησιμοποιείται ως dropper ή downloader για άλλα πιθανώς πιο επιβλαβή επακόλουθα κακόβουλα προγράμματα κακόβουλου λογισμικού.
Όπως αναφέρθηκε από την ESET Research, η spam καμπάνια του Emοtet που κυκλοφορεί από τον Νοέμβριο εξαπλώνει το malware χρησιμοποιώντας email που περιέχουν κακόβουλα συνημμένα που αποτελούν είτε τιμολόγια, ειδοποιήσεις τραπεζικών λογαριασμών ή ειδοποιήσεις πληρωμών ή hyperlink σε τομείς που ελέγχονται από τους απατεώνες πίσω από το Trojan ως εναλλακτικό σημείο εκκίνησης της μόλυνσης.
Η διαδικασία ξεκινάει αυτόματα από την στιγμή που το θύμα θα ανοίξει τα κακόβουλα συνημμένα και θα ενεργοποιήσει τον μηχανισμό μόλυνσης ( μακροεντολές Word ή συνδέσμους PDF), το Emotet κατεβαίνει, εγκαθίσταται και κάνει εκκίνηση στο σύστημα.
Στη συνέχεια, το malware αναφέρει την επιτυχή μόλυνση στον command-and-control (C&C) server, ο οποίος στέλνει αναλυτικές οδηγίες σχετικά με τις ενότητες και τα payload που χρειάζεται να «κατέβουν».
Ανάλογα με τις πρόσθετες ενότητες που εγκαθιστά στον υπολογιστή του θύματος, το Emotet θα μπορεί στη συνέχεια να εκτελέσει ένα ευρύ φάσμα εργασιών από την αυτοδιάθεση μέσω του network και τη συλλογή ευαίσθητων πληροφοριών μέσω των θυρών.
Τα δευτερεύοντα ωφέλιμα payload του Emοtet είναι τo IcedID που συνδέει τις προηγμένες τακτικές χειρισμού του browser και το Trickbot, έναν πολύ προσαρμόσιμο botnet που κλέβει πληροφορίες, το οποίο χρησιμοποιεί εκτεθειμένες κάμερες IP και router ως C & C servers.
Λόγω των φορέων που βρίσκονται πίσω από όλο αυτό, το malware Emotet ήταν σε θέση να αναπτύξει νέες ενότητες στο botnet ανά πάσα στιγμή χρησιμοποιώντας τους C & C servers, ακόμη και μονάδες που έχουν μολυνθεί με παλαιότερες εκδόσεις του κακόβουλου λογισμικού δεν είναι ασφαλείς.
Αυτό ισχύει ιδιαίτερα δεδομένου ότι οι masters του Emotet είναι γνωστό ότι επιβραδύνουν τη δραστηριότητα του botnet και το χρησιμοποιούν σε μεγάλες spam εκστρατείες όπως αυτή που πρόσφατα ανίχνευσε η ESET Research.
