Malware | Phishing | Emotet

Zákeřný botnet Emotet po pětiměsíční pauze opět ožívá. Dejte pozor na přílohy v e-mailech

Skupina odborníků na bezpečnost, vystupující pod označením Cryptolaemus, varovala na sociální síti Twitter před opětovnou aktivitou botnetu Emotet. Na scénu se vrací po dlouhých pěti měsících, během kterých vyvíjel jen minimální aktivitu.

Botnet Emotet byl v minulosti považován za jednu z největších počítačových sítí, určených k rozesílání phishingových e-mailů. Dne 13. června tohoto roku se však z dosud neznámých důvodů odmlčel a s odesíláním škodlivých zpráv prakticky přestal. Jenže 2. listopadu opět obnovil svou činnost.

Emotet se vrací

„Vypadá to, že Ivan opět potřebuje nějaké peníze, a tak se vrátil do práce. Dávejte si pozor na přiložené soubory XLS a zazipované a zaheslované XLS,“ varují bezpečnostní experti uživatele. „Až se Ivan víc rozjede, možná uvidíme nějaké nové taktiky a různé způsoby infekce. Stávající metody jsou však s novějším výchozím nastavením Office dost neúčinné.“

Emotet sází na phishing – rozesílá e-maily, jež mají příjemce přesvědčit k otevření dokumentů ve formátu MS Word či Excel. Pokud uživatelé podlehnou a následně povolí spuštění maker, dojde ke stažení a načtení dynamicky připojované knihovny, obsahující škodlivý kód.

Malware nejprve posbírá v počítači e-mailové adresy, jež později využije k dalším útokům. Následně vypustí do systému další škodlivé aplikace, jako je například Cobalt Strike, jež útočníkovi umožňuje nasadit na počítač oběti agenta označovaného jako Beacon. Jeho prostřednictvím pak mohou hackeři spouštět nejrůznější příkazy, zachytávat stisknuté klávesy nebo přenášet soubory.

Pozor na dokumenty v Excelu

Ze vzorků nahraných na server online antivirové služby VirusTotal web Bleeping Computer zjistil, že přílohy jsou cíleny na uživatele po celém světě. Pod názvy souborů v nejrůznějších jazycích se snaží předstírat, že se jedná o faktury, naskenované dokumenty, elektronické formuláře a další lákadla.

Aktuální kampaň Emotetu také představuje novou šablonu přílohy, jež obsahuje pokyny, jak obejít ochranné mechanismy, které omezují funkce dokumentů stažených z internetu. Microsoft Office totiž ve výchozím chráněném zobrazení zabraňuje spuštění maker instalujících malware. Útočníci dávají uživatelům pokyn, aby soubor zkopírovali do složky Templates (Šablony), čímž chráněné zobrazení obejdou.

Operační systém sice uživatele upozorní, že kopírování souboru do složky pro šablony vyžaduje oprávnění správce, nicméně již samotná skutečnost, že se uživatel pokouší soubor zkopírovat, dává velkou šanci, že stiskne i tlačítko Pokračovat. Když je příloha následně spuštěna z uvedené složky, jednoduše se otevře a okamžitě spustí makra, která stáhnou malware.

Diskuze (1) Další článek: Firemní záchody nemusí sloužit jen k vykonání potřeby. Zaměstnanci Googlu si na nich rozšiřují obzory

Témata článku: , , , , , , , , , , , , , , , , , , , , ,