Infoturbe valdkonna üks liidreid ESET teatab Emoteti botneti suurenenud aktiivsusest, mis saadab ohtlike failidega kasutajatele massiliselt rämpsposti. Ohtude avastamise määr suurenes 2022. aasta esimese nelja kuu jooksul enam kui 100 korda. Ohvri seade nakatus pärast Wordi dokumendi avamist ja nupu „luba sisu“ vajutamist, mis käivitas kahjulikud makrod.
Esimest korda tuvastati see oht pangandustroojalasena 2014. aasta juunis. See hakkas koheselt müüma juurdepääsu ohustatud süsteemidele teistele küberkurjategijate rühmadele. Seega kippus Emotet arvutis käivitatuna laadima alla ka muud tüüpi pahavara.
Emotetil on modulaarne programmistruktuur, mille põhikomponent levib rämpsposti kaudu koos kahjulike Microsoft Wordi dokumentidega. Emotet kasutab seejärel lisamooduleid, mis võimaldavad:
edasist levitamist rämpsposti kaudu;
levida lähedalasuvate turvamata WiFi-võrkude kaudu, nakatades ühendatud kasutajaid;
ligipääsu võrguressursside kasutajanimede ja paroolide valikule;
süsteemide teisendamist puhverserveriteks nende käsuinfrastruktuuris;
meiliaadresside ja nimede varastamist Microsoft Outlookist;
kõigi sõnumite ja meilimanuste varastamist ohustatud süsteemidest.
2018. aastal hakkas Emotet kasutama uut tehnikat, eelkõige varastas ohvrite postkastidest kirju ja kasutas neid rünnakutes. Selline lähenemine muudab rämpspostisõnumi usutavamaks ja suurendab tõenäosust, et kasutaja avab manuse.
Niipea, kui ohver avab Wordi dokumendi ja klõpsab „luba sisu“, käivitatakse pahatahtlikud makrod, mis laadivad alla Emoteti.
Kui Emotet jätkas 2022. aasta märtsis ja aprillis oma tegevust tohutute rämpspostikirjadega, siis Microsoft otsustas eemaldada nupu „luba sisu“. Sellest ajast alates on Emoteti taga olevad kräkkerid katsetanud erinevaid meetodeid, et asendada makrode kasutamist pahavara levitamiseks rünnaku algfaasis.
Kuidas on küberkurjategijad oma taktikat muutnud?
Eelkõige kasutas Emotet 2022. aasta aprillis-mais pahatahtlikus manuses tavalise Microsoft Wordi dokumendi asemel otseteefaili. Topeltklõpsamisel käivitas see fail PowerShelli skripti, mis laadis alla Emoteti.
Lisaks meelitasid küberkurjategijad aprillis ohvreid avama ZIP-arhiivi, mis salvestatakse OneDrive’i ja sisaldab Microsoft Exceli lisandmooduli (XLL) faile, et Excelile funktsioone lisada. Lahtipakkimisel ja allalaadimisel need failid kustutati ja käivitati Emotet.
2021. aasta lõpus, pärast botnettide tegevuse taastumist, kasutasid ründajad tööriista Cobalt Strike Beacon, mis võimaldas neil lõppkomponendi kiiremini juurutada.
