Emotet – powrót trojana bankowego

Na czym polega mutacja?

Najnowszy szczep zyskał możliwość sprawdzenia, czy zainfekowany adres IP, z którego wysyłana jest złośliwa poczta, jest już na czarnej liście spamu. Pozwala to atakującym na dostarczanie większej liczby e-mail’i do skrzynek odbiorczych użytkowników bez żadnego odrzutu ze strony filtrów antyspamowych.

Emotet jest obecnie jedną z najszerzej rozpowszechnianych i aktywnie rozwijanych rodzin złośliwego oprogramowania w środowisku crimeware. Zaczynał wyłącznie jako trojan bankowy, ale z biegiem lat ewoluował, a ostatnio był powiązany z infekcjami Ryuk ransomware o większej skali. Podstawowym źródłem infekcji pozostają złośliwe wiadomości e-mail wysyłane w ramach szeroko rozpowszechnionych kampanii antyspamowych. Emotet jest zwykle dostarczany za pośrednictwem zarówno makr w dokumentach biurowych, jak i wiadomości spam opartych na adresach URL, które prowadzą do ewentualnej infekcji. Kampanie te zmieniają się i ewoluują codziennie, a infrastruktura pomocnicza również zmienia się niemal na stałym poziomie. Specjaliści odkryli, że często zdarza się, że Emotet ponownie wykorzystuje niektóre serwery Command and Control w dłuższych okresach.

Celem Emotet, podobnie jak w przypadku zagrożeń opartych na oprogramowaniu crimeware, jest nielegalny zysk. Atakujący używają Emotetu do dostarczania modułów ładunków, które mogą wykorzystać do zarabiania na infekcjach. Ładunki te mogą zawierać zagrożenia, takie jak trojany bankowe, kradzież danych, programy do zbierania wiadomości e-mail i oprogramowanie ransomware. Moduły, które atakujący wdrażają, są prawdopodobnie wybierane w oparciu o maksymalizacje zysków, aby mogły zarabiać na zainfekowanych systemach i środowiskach.

Istnieje wiele aktywnych kampanii, które obecnie dostarczają Emotet. Kampanie te występują w różnych odmianach. Najczęstsza to prosty e-mail z załączonym dokumentem Word. O tym jak nie dać się nabrać na złośliwego maila piszemy tutaj.