Botnet Emotet powrócił i rozsyła malware z jeszcze większą siłą

Niebezpieczny trojan Emotet powrócił po pięciomiesięcznej przerwie, rozpoczynając nową, intensywną kampanię dystrybucji złośliwego oprogramowania — ostrzegają badacze.

Badacze z Cryptolaemus, grupy zajmującej się śledzeniem Emoteta, zaobserwowali, jak trojan nagle ożył i spamował adresy e-mail na całym świecie wiadomościami phishingowymi, wczesnym rankiem 2 listopada.

„Wygląda na to, że Ivan znów potrzebuje trochę gotówki, więc wrócił do pracy. Uważaj na bezpośrednio załączone pliki XLS oraz zzipowane i chronione hasłem XLS” – ostrzegła grupa w wątku na Twitterze.

Jak zwykle, kampania obraca się wokół uzbrojonych dokumentów Office, w tym konkretnym przypadku — plików Excel niosących złośliwe makra.

Trojan wykorzystuje istniejące łańcuchy e-maili, używając funkcji odpowiedzi do dystrybucji dokumentu. Istnieje jednak kilka istotnych zmian w sposobie działania tej sztuczki, ponieważ Microsoft niedawno wyłączył domyślnie makra i wymaga od administratorów specjalnego zezwolenia na uruchomienie tej funkcji. Ponadto, Windows dodaje teraz flagę Mark-of-the-Web (MoTW) do wszystkich plików pobranych z Internetu. Po otwarciu pliki oznaczone flagą MoTW będą wyświetlać komunikat o tym, że zostały pobrane z niezabezpieczonej lokalizacji i że można je otworzyć tylko w widoku chronionym, co ma chronić użytkowników przed przypadkowym uruchomieniem złośliwego makra.

To skłoniło przestępców do dodania do pliku specjalnego komunikatu, naśladującego ostrzeżenie o zabezpieczeniach Excela (żółty poziomy pasek nad treścią) i mówiącego, że aby uruchomić plik, musi on zostać umieszczony w folderze Templates pakietu Office. Wszystkie pliki uruchamiane z folderu Templates automatycznie uruchamiają makra. Rzeczywiście, dodanie plików do tego konkretnego folderu nie jest takie proste, ponieważ Windows wymaga pozwolenia administratora, ale są szanse — wiele ofiar zignoruje te oczywiste czerwone flagi.

Jak dotąd Emotet pozostaje uśpiony na zaatakowanych punktach końcowych, więc badacze nie są w stanie określić, do jakiego rodzaju kampanii jest wykorzystywany. W przeszłości Emotet był wykorzystywany do zrzucania beaconów Cobalt Strike, malware TrickBot i innych.