Зловмисники шукають новий ефективний вектор атак для відродження ботнету Emotet

Компанія Eset попереджає про зростання активності ботнета Emotet, який поширюється через спам та може викрадати інформацію з пристроїв жертв. Зокрема зловмисники можуть збирати інформацію про банківські картки, що зберігається в браузері. При цьому кіберзлочинців цікавлять не лише пристрої компаній, а й звичайних користувачів. Більшість атак Emotet, виявлених Eset із січня 2022 року, були спрямовані на Японію (43%), Італію (13%), Іспанію (5%) та Мексику (5%).

Варто зазначити, що Emotet – це сімейство шкідливих програм, яке активне з 2014 року й управляється групою кіберзлочинців, відомою як Mealybug або TA542. Спочатку загроза мала функціонал банківського трояна, а потім перетворилася на ботнет, який став однією з найпоширеніших загроз у всьому світі. У січні 2021 року Emotet був знешкоджений в результаті спільних зусиль восьми країн, координованих Євроюстом і Європолом.

Ботнет повернувся в листопаді 2021 року та запустив кілька хвиль спам-повідомлень. З кінця 2021 до середини 2022 року Emotet поширювався здебільшого через шкідливі документи Microsoft Word і Microsoft Excel із вбудованими макросами VBA. Вимкнення у 2022 році Microsoft макросів VBA в документах, отриманих через Інтернет, змінило правила гри для багатьох сімейств шкідливих програм, які використовували фішингові електронні листи зі шкідливими документами як метод розповсюдження.

Пізніше Emotet використовував вбудовану приманку в MS OneNote, і навіть попередження, що ця дія може призвести до завантаження шкідливого вмісту, як правило, жертв не зупиняло. Крім цього, після його повторної появи у ботнет було додано кілька нових модулів та функцій, щоб запобігати відстеженню та ускладнити виявлення.

Поширюється Emotet через спам-повідомлення, і користувачі часто довіряють цим електронним листам. І хоча до знешкодження загроза викрадала повідомлення та контактну інформацію з Outlook, то після відновлення діяльності ботнет зосередився на безкоштовній альтернативній програмі для обміну електронною поштою – Thunderbird. Крім цього, загроза почала використовувати модуль, який викрадає інформацію про банківські картки, що зберігається в браузері Google Chrome.