Po krótkiej przerwie świątecznej złośliwe oprogramowanie Emotet powróciło i jest obecnie wykorzystywane przez cyberprzestępców do ataków na banki i instytucje finansowe w Stanach Zjednoczonych i Wielkiej Brytanii, wynika z nowego badania przeprowadzonego przez Menlo Security. Podczas gdy Emotet zaczynał jako trojan bankowy, a później stał się botnetem, jego twórcy teraz wynajmują go innym, którzy chcą rozpowszechniać własne złośliwe oprogramowanie. Pod koniec zeszłego roku aktywność Emotet wydawała się zwalniać, ale niestety złośliwe oprogramowanie pojawiło się ponownie w styczniu. Badacze Menlo Security wyjaśnili, w jaki sposób Emotet jest teraz wykorzystywany w nowej kampanii skierowanej do banków i instytucji finansowych w poście na blogu szczegółowo opisującym ich wyniki, mówiąc: atakuje branżę usług finansowych.Podobnie jak poprzednie wersje, złośliwe oprogramowanie Emotet jest tylko początkowym wektorem ataku wykorzystywanym do przeprowadzenia ataku.Atak rozpoczyna się od złośliwego dokumentu Microsoft Word, który ma zostać pobrany i otwarty przez użytkownika. Po otwarciu złośliwe oprogramowanie wykonywane jest makro i nawiązywany jest kontakt z serwerem dowodzenia i kontroli w celu zainicjowania kolejnego etapu ataku”.
Odrodzenie Emoteta
Według Menlo Security, Emotet jest obecnie wykorzystywany do przeprowadzania ataków na organizacje z sektora usług finansowych, a także mniejszych ataków na branżę spożywczą, medialną i transportową. Trzy czwarte ataków wymierzone było w organizacje w Stanach Zjednoczonych i Wielkiej Brytanii, podczas gdy pozostałe ataki były skierowane w organizacje na Filipinach, w Hiszpanii i Indiach. Podobnie jak w przypadku poprzednich ataków, złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem wiadomości phishingowych zawierających szkodliwy dokument programu Microsoft Word. Jednak tematy wiadomości e-mail zostały zmienione, aby bezpośrednio przemawiać do pracowników sektora finansowego, poprzez uwzględnienie wspólnych warunków finansowych. Złośliwy dokument Microsoft Word załączony do tych wiadomości e-mail stwierdza, że użytkownicy muszą "włączyć zawartość", aby wyświetlić dokument. Gdy użytkownik to zrobi, pozwala złośliwym makrom i adresom URL na dostarczanie złośliwego oprogramowania Emotet na jego komputer. Ponieważ Emotet jest teraz także botnetem, te e-maile nie pochodzą z określonego źródła, ale z innych zainfekowanych komputerów na całym świecie. Padnięcie ofiarą tego złośliwego oprogramowania nie tylko zapewnia atakującemu tylne wejście do twojego systemu, ale także umożliwia mu użycie twojego komputera do rozprzestrzeniania Emotet na komputerach innych użytkowników. Aby uniknąć bycia ofiarą Emotet, zaleca się, aby użytkownicy zwracali szczególną uwagę na wszystkie dokumenty, które proszą ich o aktywację makr, zwłaszcza gdy e-maile przychodzą z nieznanego źródła. przez ZDNet