Компания ESET ― лидер в области информационной безопасности ― сообщает о повышенной активности ботнета Emotet, который массово рассылает пользователям спам-сообщения с опасными файлами. В частности, показатель обнаружения угрозы за первые 4 месяца 2022 года вырос более чем в 100 раз. Заражение устройства жертвы происходило после открытия документа Word и нажатия кнопки "Включить содержимое", которая запускала вредные макросы.
В чем опасность Emotet?
В первый раз угроза была зафиксирована как банковский троян в июне 2014 года. Она сразу начала продавать доступ к скомпрометированным системам другим группам киберпреступников. Таким образом, после запуска на компьютере Emotet, как правило, загружал другие виды вредоносных программ.
Emotet имеет модульную структуру программы с основным компонентом, который распространяется через спам-письма с вредоносными документами Microsoft Word. Затем Emotet использует дополнительные модули, которые позволяют:
- дальнейшее распространение через спам-письма;
- распространение через ближайшие незащищенные сети Wi-Fi, заражая подключенных пользователей;
- подбор имен пользователей и паролей для совместных сетевых ресурсов;
- преобразование скомпрометированных систем в прокси-серверы в своей командной инфраструктуре;
- несанкционированное использование легитимных приложений, которые могут восстанавливать пароли к популярным почтовым клиентам и браузерам соответственно;
- кража адресов и имен электронной почты из Microsoft Outlook;
- похищение всех сообщений и вложений электронной почты из скомпрометированных систем.
В 2018 году Emotet начал использовать новую технику, в частности, похищать письма из почтовых ящиков жертв и использовать их в своих атаках. Такой подход позволяет спам-сообщению выглядеть более правдоподобно и, соответственно, повышает вероятность открытия вложения пользователем.
Как только жертва открывает документ Word и нажимает "Включить содержимое", запускаются вредоносные макросы, которые загружают Emotet.
В то время как Emotet возобновил свою вредоносную деятельность, массово распространяя спам-письма в марте и апреле 2022 года, компания Microsoft приняла решение об отказе от кнопки "Включить содержимое". После этого авторы Emotet перешли к экспериментам с разными методами, чтобы заменить использование макросов для распространения вредоносных программ на начальном этапе атаки.
Как киберпреступники меняют тактику?
В частности, в апреле-мае 2022 года Emotet вместо типичного документа Microsoft Word использовал файл ярлыка во вредоносном вложении. После двойного нажатия этот файл запускал скрипт PowerShell, который загружал Emotet.
Кроме этого, в апреле киберпреступники заманивали жертв открыть ZIP-архив, который сохраняется в OneDrive и содержит файлы Microsoft Excel Add-in (XLL) для добавления специальных функций в Excel. При распаковке и загрузке эти файлы удалялись и запускался Emotet.
В то время как в конце 2021 года после возобновления деятельности ботнета злоумышленники использовали инструмент Cobalt Strike Beacon, что позволяло им быстрее разворачивать финальный компонет.
Что делать для защиты от подобных угроз?
Для ИТ-администраторов организаций, которые используют макросы в качестве рабочих процессов, следует настроить политики Office по обработке макросов. Кроме того, стоит пересмотреть безопасность компании, в частности, усилить защиту от угроз, которые распространяются через почту, благодаря:
- обеспечению защиты электронной почты с помощью решения по безопасности, которое способно блокировать фишинг, спам и другие вредоносные письма.
- улучшению осведомленности сотрудников о кибербезопасности, в частности, научить их распознавать фишинговые сообщения.
- использованию решения для обнаружения и реагирования, которое поможет отслеживать причины кибератаки в сети компании.
И хотя отказ от кнопки "Включить содержимое" улучшит защиту от вредоносных макросов, такие угрозы, как Emotet, продолжат менять свои тактики. Поэтому всегда следует быть внимательными при получении электронных писем и не торопиться открывать подозрительные документы в них.
О компании:
ESET — эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
