Menu dostępności

Emotet – powrót trojana bankowego

Chociaż Emotet istnieje od wielu lat i jest jednym z najbardziej znanych złośliwych programów malware, nie oznacza to, że atakujący nie próbują go odświeżyć. Firma Cisco Talos odkryła ostatnio kilka nowych kampanii rozpowszechniających niesławnego trojana bankowego za pośrednictwem poczty elektronicznej. Te nowe kampanie zaobserwowano po okresie stosunkowo niskiej aktywności dystrybucji Emotetów. Co ciekawe niska aktywność odpowiada prawosławnemu świętu Bożego Narodzenia w niektórych regionach geograficznych. Te nowe złośliwe działania polegają na wysyłaniu ofiarom załączników Microsoft Word z osadzonymi makrami, służącymi do pobrania trojana Emotet.


Na czym polega mutacja?

Najnowszy szczep zyskał możliwość sprawdzenia, czy zainfekowany adres IP, z którego wysyłana jest złośliwa poczta, jest już na czarnej liście spamu. Pozwala to atakującym na dostarczanie większej liczby e-mail’i do skrzynek odbiorczych użytkowników bez żadnego odrzutu ze strony filtrów antyspamowych.

Emotet jest obecnie jedną z najszerzej rozpowszechnianych i aktywnie rozwijanych rodzin złośliwego oprogramowania w środowisku crimeware. Zaczynał wyłącznie jako trojan bankowy, ale z biegiem lat ewoluował, a ostatnio był powiązany z infekcjami Ryuk ransomware o większej skali. Podstawowym źródłem infekcji pozostają złośliwe wiadomości e-mail wysyłane w ramach szeroko rozpowszechnionych kampanii antyspamowych. Emotet jest zwykle dostarczany za pośrednictwem zarówno makr w dokumentach biurowych, jak i wiadomości spam opartych na adresach URL, które prowadzą do ewentualnej infekcji. Kampanie te zmieniają się i ewoluują codziennie, a infrastruktura pomocnicza również zmienia się niemal na stałym poziomie. Specjaliści odkryli, że często zdarza się, że Emotet ponownie wykorzystuje niektóre serwery Command and Control w dłuższych okresach.

Celem Emotet, podobnie jak w przypadku zagrożeń opartych na oprogramowaniu crimeware, jest nielegalny zysk. Atakujący używają Emotetu do dostarczania modułów ładunków, które mogą wykorzystać do zarabiania na infekcjach. Ładunki te mogą zawierać zagrożenia, takie jak trojany bankowe, kradzież danych, programy do zbierania wiadomości e-mail i oprogramowanie ransomware. Moduły, które atakujący wdrażają, są prawdopodobnie wybierane w oparciu o maksymalizacje zysków, aby mogły zarabiać na zainfekowanych systemach i środowiskach.

Istnieje wiele aktywnych kampanii, które obecnie dostarczają Emotet. Kampanie te występują w różnych odmianach. Najczęstsza to prosty e-mail z załączonym dokumentem Word. O tym jak nie dać się nabrać na złośliwego maila piszemy tutaj.

Popularne

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Koniec ery VPN? Jak sztuczna inteligencja zmienia krajobraz cyberzagrożeń i przyspiesza przejście do Zero Trust

Przez ponad dwie dekady sieci VPN (Virtual Private Network) stanowiły podstawowy mechanizm zapewniający bezpieczny dostęp zdalny do zasobów przedsiębiorstw. W czasach, gdy większość pracowników wykonywa...
Accenture potwierdza wyciek danych

Accenture potwierdza wyciek danych

Accenture, obecny również w Polsce gigant usług profesjonalnych, potwierdziło naruszenie bezpieczeństwa danych po tym, jak haker przyznał się do kradzieży kodu źródłowego firmy. Accenture to przedsi...
FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

FIFA i Broken Access Control. Jak konto bez uprawnień uzyskało dostęp do systemów Mistrzostw Świata 2026

16 czerwca, czyli zaledwie pięć dni po rozpoczęciu Mistrzostw Świata 2026, badaczka cyberbezpieczeństwa działająca pod pseudonimem „BobDaHacker” opisała na swoim blogu lukę odkrytą w systemach FIFA. Według...
Masowa kampania password spray wymierzona w Azure CLI

Masowa kampania password spray wymierzona w Azure CLI

Cyberprzestępcy prowadzą zakrojoną na szeroką skalę kampanię password spray, wymierzoną w środowiska Microsoft 365 za pośrednictwem Azure CLI, o czym informuje Huntress – firma zajmująca się cyberbezpiec...
External MFA w Microsoft Entra ID – koniec Custom Controls

External MFA w Microsoft Entra ID – koniec Custom Controls

MFA, czyli uwierzytelnianie wieloskładnikowe, opiera się na prostej zasadzie: samo hasło nie wystarcza. Po wpisaniu loginu i hasła użytkownik musi jeszcze potwierdzić swoją tożsamość drugim składniki...