Emotet: Prvi talas u 2023. godini

Ranije prošle sedmice, Emotet je napravio prvi talas slanja zlonamjerne elektronske pošte korisnicima. Emotet je zadnji put slao zlonamjernu elektronsku poštu u novembru 2022. godine.

Emotet: Prvi talas u 2023. godini; Dizajn: Saša Đurić

Porijeklo Emoteta

Emotet je prvi put identifikovan 2014. godine od strane sigurnosnih istraživača koji su pratili zlonamjerni obrazac mrežnog saobraćaja. Tada je klasifikovan kao trojanski zlonamjerni softver koji ima mogućnost dobijanja pristupa korisničkim uređajima preko priloga elektronske pošte, zlonamjernih veza u elektronskoj pošti ili putem poruka na društvenim medijima. Koristeći tehniku poput crva (eng. worm), širio se sa jednog uređaja na drugi, preuzimajući povjerljive informacije i lične podatke korisnika.

Prvobitno je bio korišten za finansijske prevare, krađu bankovnih računa i podataka o kreditnim karticama. Sa svakom novom kampanjom, rastu i mogućnosti, pa tako raste i obim napada koji ide od finansijskih prevara do špijunaže i političke sabotaže. Emotet je stekao dobru reputaciju među zlonamjernim akterima, koji počinju da ga koriste za pokretanje veći napada na poslovne organizacije, vladine agencije ili čak zdravstvene radnike. Danas se Emotet koristi za ransomware i DDoS napade sa mogućnostima krađe korisničkih podatka iz Internet pretraživača i širenja kroz mrežu bez interakcije korisnika.

Način dostave u novoj verziji

Način dostave u ovoj verziji zlonamjernog softvera Emotet preko elektronske pošte je isti kao u novembru prošle godine, sa nekim razlikama: ZIP datoteka u prilogu ovaj put nije zaštićena lozinkom i ovaj put se dostavlja Word dokument umjesto Excel dokumenta.

Social engineering lure on first page; Source: Deep Instinct

Word dokument sadrži macro skriptu, pa ako su dozvoljene za izvršavanje, pokreće se lanac infekcije. Macro skripte su veoma duge i koristi se zamagljene skripti koje preuzimaju i pokreću ZIP datoteku koja sadrži Emotet DLL sa neke od kompromitovanih Internet stranica.

U ovom procesu dolazi do vještačkog povećanja Word dokumenta do veličine preko 500 MB, što je već poznata tehnika za preuzimanje zlonamjernog sadržaja, kao što su izvršna ili DLL datoteka, uz izbjegavanje detekcije. Razlog vještačkog povećanja veličine datoteke se krije u tome što mnogi sigurnosni proizvodi ne skeniranju velike datoteke, što prekida automatsku analizu i ekstrakciju indikatora kompromitovanja (eng. Indicators of Compromise – IOC).

Zaštita

Kombinacija inicijalnog vektora napada i vještačkog uvećanja datoteke za preuzimanje zlonamjernog sadržaja može potpuno zaslijepiti proizvode koji se oslanjaju isključivo na statičku analizu. Pošto Emotet još uvijek koristi ubrizgavanje procesa, tako sigurnosni proizvodi koji se ne oslanjaju samo na statičku detekciju imaju veće šanse da zaustave trenutni val.

Pored provjerenog sigurnosnog softvera, poslovne organizacije treba da vode računa o ažuriranju sistema i pratećeg softvera, pravovremenom ispravljanju otkrivenih ranjivosti i edukaciji korisnika o opasnostima koje dolaze putem elektronske pošte sa naglaskom na oprez prije otvaranja priloga.