Фото kod.ru

Компанія ESET ― лідер у галузі інформаційної безпеки ― повідомляє про підвищену активність ботнета Emotet, який масово розсилає користувачам спам-повідомлення з небезпечними файлами. Зокрема показник виявлення загрози за перші 4 місяці 2022 року зріс більш ніж у 100 разів. Інфікування пристрою жертви відбувалося після відкриття документу Word та натискання кнопки "Увімкнути вміст", яка запускала шкідливі макроси.

Виявлення Emotet за даними телеметрії ESET

У чому небезпека Emotet?

Вперше загроза була зафіксована як банківський троян у червні 2014 року. Вона одразу почала продавати доступ до скомпрометованих систем іншим групам кіберзлочинців. Таким чином після запуску на комп’ютері Emotet зазвичай завантажував інші види шкідливих програм.

Emotet має модульну структуру програми з основним компонентом, який розповсюджується через спам-листи зі шкідливими документами Microsoft Word. Потім Emotet використовує додаткові модулі, які дозволяють:

У 2018 році Emotet почав використовувати нову техніку, зокрема викрадати листи з поштових скриньок жертв та використовувати їх у своїх атаках. Такий підхід дозволяє спам-повідомленням виглядати більш правдоподібно та відповідно підвищує ймовірність відкриття вкладення користувачем.

Як тільки жертва відкриває документ Word та натискає "Увімкнути вміст", запускаються шкідливі макроси, які завантажують Emotet.

У той час як Emotet відновив свою шкідливу діяльність, масово поширюючи спам-листи в березні та квітні 2022 року, компанія Microsoft прийняла рішення про відмову від кнопки "Увімкнути вміст". Після цього автори Emotet перейшли до експериментів з різними методами, щоб замінити використання макросів для поширення шкідливих програм на початковому етапі атаки.

Як кіберзлочинці змінюють тактику?

Зокрема у квітні-травні 2022 року Emotet замість типового документа Microsoft Word використовував файл ярлика у шкідливому вкладенні. Після подвійного натискання цей файл запускав скрипт PowerShell, який завантажував Emotet.

Шкідливий лист, надісланий кіберзлочинцями Emotet

Крім цього, у квітні кіберзлочинці заманювали жертв відкрити ZIP-архів, який зберігається в OneDrive та містить файли Microsoft Excel Add-in (XLL) для додавання спеціальних функцій до Excel.  У разі розпакування та завантаження ці файли видалялись та запускався Emotet.

Тоді як наприкінці 2021 року після відновлення діяльності ботнета зловмисники використовували інструмент Cobalt Strike Beacon, що дозволяло їм швидше розгортати фінальний компонент.

Що робити для захисту від подібних загроз?

Для ІТ-адміністраторів організацій, які використовують макроси як частину робочих процесів, варто налаштувати політики Office щодо обробки макросів. Крім того, слід переглянути безпеку компанії, зокрема посилити захист від загроз, які поширюються через пошту, завдяки:

І хоча відмова від кнопки "Увімкнути вміст" покращить захист від шкідливих макросів, такі загрози  як Emotet, продовжать змінювати свої тактики. Тому завжди варто бути уважними під час отримання електронних листів та не поспішати відкривати підозрілі документи в них.

Про компанію:

ESET — експерт у сфері захисту від кіберзлочинності та цифрових загроз, міжнародний розробник рішень з ІТ-безпеки, провідний постачальник у галузі створення технологій виявлення загроз. Заснована у 1992 році, компанія ESET сьогодні має розширену партнерську мережу й представництва в більш ніж 180 країнах світу. Головний офіс компанії знаходиться у Братиславі, Словаччина.