Emotet zaczynał w 2014 roku jako trojan bankowy. Na chwilę obecną skupia się przede wszystkim na kradzieży danych logowania do bankowości elektronicznej. Dodatkowo pozwala na instalowanie wielu złośliwych modułów. W wyniku ewolucji został również przekształcony w usługę dystrybucji złośliwego oprogramowania. Badacze z firmy Check Point są zdania, że w 2020 roku Emotet zaraził niemal co piątą firmę na całym świecie. I to właśnie on był odpowiedzialny za prawdziwą eksplozję popularności ukierunkowanego oprogramowania ransomware.
Początkiem ubiegłego roku Europol wraz z międzynarodowymi organami ścigania przejęli kontrolę i zakłócili działanie infrastruktury dystrybuującej Emotet (pisaliśmy o tym tutaj), jednak można ponownie zauważyć jej zwiększającą się aktywność.
Rośnie liczba infekcji Emotet
Dane opublikowane przez zespół badawczy HP Wolf Security wskazują, że liczba wykrytych zagrożeń związanych z kampaniami Emotet wzrosła aż o 27 proc. w Q1 2022 r. w porównaniu z Q4 2021 r. W 2022 r. zaobserwowano łącznie ponad milion infekcji Emotet na całym świecie. Szczyt aktywności przypada na przełom lutego i marca, wraz z początkiem konfliktu rosyjsko-ukraińskiego. Po chwilowym okresie względnego spokoju aktywność zwiększyła się ponownie w połowie roku i przypisywana jest grupom Quantum i BlackCat.
Ataki nie tylko przy użyciu makr Microsoft Office
Emotet może wykorzystywać wiadomości e-mail celem dystrybucji linków do pobrania złośliwego pliku XLSM. Złośliwe pliki XLSM znajdują się przeważnie na przejętych wcześniej systemach CMS takich jak WordPress, oraz na innych zhakowanych serwerach. Ponieważ Microsoft rozpoczął proces wyłączania makr, rośnie liczba innych formatów dystrybucji. Mogą to być złośliwe pliki archiwów Java, czy pliki JavaScript. Zagrożenie związane z Emotetem stale rośnie – liczba wiadomości phishingowych, często przejmujących istniejącą już korespondencję, wzrosła z 3000 w lutym 2022 roku do około 30 000 w marcu!
Moduły Emotet
Samo malware zawiera kilka modułów, które nie są zapisywane na dysku, a ładowane z serwerów dowodzenia C2. Rozszerzają one możliwości oprogramowania i obejmują takie funkcjonalności jak m.in:
Przechwytywanie haseł poczty e-mail
Moduł umożliwiający przechwytywanie przechowywanych poświadczeń eksportując je do pliku CSV w celu eksfiltracji danych. Moduł przeglądarki haseł poczty e-mail dla programu Outlook jest bardzo podobny, a ponadto wydaje się próbować „wyciągać” dodatkowe dane z nieprzeczytanych wiadomości e-mail w plikach PST.
Przechwytywanie haseł z przeglądarki internetowej
Funkcjonalność skierowana do wielu typów przeglądarek: Internet Explorer, Edge, Firefox, Chrome. Opera, czy Safari. Umożliwia przechwytywanie danych uwierzytelniających za pomocą PassView.
Network Spreader
Moduł pozwalający cyberprzestępcom na ruch boczny. Działa on poprzez wymuszanie poświadczeń administratora przy użyciu predefiniowanej listy pochodzącej z publicznie dostępnej listy haseł.
Spamer
Pozwala on zainfekowanemu hostowi na działanie jako mechanizm dystrybucji dalszych infekcji wysyłając złośliwe, spamowe e-maile.
Wykradanie danych z przeglądarki Chrome
Moduł ma możliwość przechwytywania informacji o kartach płatniczych przechowywanych w przeglądarce Chrome. Ma możliwość eksfiltracji zebranych danych na serwery C2.
Wnioski
Zdolność Emotetu do rozszerzania funkcjonalności poprzez wykorzystanie modułów ułatwia dodawanie nowych możliwości do złośliwego oprogramowania. Moduł zdolny do kradzieży danych kart kredytowych pokazuje, że cyberprzestępcy poszukują nowych sposobów na zarabianie na swoich operacjach botnetowych.
Chociaż trojan pojawił się ponownie i zyskuje na sile, nadal wykorzystuje wiele z tych samych wektorów ataku, które wykorzystywał w przeszłości. Problem polega na tym, że ataki te stają się coraz bardziej wyrafinowane i omijają dzisiejsze standardowe narzędzia bezpieczeństwa do wykrywania i filtrowania tego typu zdarzeń. Ze względu na wykorzystywanie poczty e-mail do dystrybucji złośliwego oprogramowania, przede wszystkim warto więc wzmocnić detekcję w systemach ochrony poczty. Biorąc pod uwagę coraz większe wyrafinowanie cyberprzestępców kluczowe jest posiadanie kompleksowej oraz odpornej infrastruktury punktów końcowych.
Redaktorka Net Complex Blog
