Hatóságok hiába kapcsolták le az Emotet vírust terjesztő botnetet tavaly év elején, egy év sem kellett ahhoz, hogy a kiberbűnözők újraindítsák a malware terjesztését. A VMware friss elemzése pillanatképet nyújt az aktuális Emotet technikákról és módszerekről.
A megfigyelt Emotet kampányok során a kezdeti fertőzés elsősorban kéretlen levelekben szereplő káros Microsoft dokumentumokkal kezdődött, 2022 januárja óta azonban a szakértők három külön altípust is megfigyeltek a payload (a tényleges káros kód) letöltése kapcsán:
- A – A payload XL4 makróval direkt módon töltődik le
- B – A payload XL4 makróval és PowerShell parancsok segítségével töltődik le
- C – A payload Visual Basic Application (VBA) makrók és PowerShell parancsok segítségével töltődik le
Az Emotet egy multifinkciós káros kód, immáron nyolc modulja ismert, amelyek közül kettő (bankkáryta adatlopó és az SMB protokollt kihasználó) új fejlesztés.
- Törzsmodul (payload)
- SPAM modul
- Thunderbird e-mail kliens fióklopómodul
- Egy Outlook e-mail kliens fióklopó modul
- Bankkártya adatlopó (kifejezetten a Chrome böngésző ellen készült)
- Hálózati terjedésre szolgáló modul, ami az SMB protokollt használja
- Beágyazott MailPassView alkalmazással rendelkező modul
- Beágyazott WebBrowserPassView alkalmazással rendelkező modul
Az Emotet utóbbi variánsai esetében további fejlesztésként figyelhető meg, hogy az Emotet fertőzéseknél egyre gyakrabban kerülnek alkalmazásra LOLBin (Living-off-the -land), azaz natív, Microsoft által megbízhatónak tartott alkalmazások, mint például a mshta.exe, illetve a PowerShell, ezzel is megnehezítve a detektálást.
Az Emotet kapcsán az NBSZ NKI többször adott ki riasztást az elmúlt évek során. A botnet azért is jelent kiemelt fenyegetést, mert gyakran további káros kódok (Trickbot, QBot, illetve zsarolóvírusok ─ Conti, ProLock, Ryuk, Egregor ─ terjesztésére is használják.
Indikátorok (IoC):
- 131[.]100.24.231:80
- 209[.]59.138.75:7080
- 103[.]8.26.103:8080
- 51[.]38.71.0:443
- 212[.]237.17.99:8080
- 9[.]172.212.216:8080
- 207[.]38.84.195:8080
- 104[.]168.155.129:8080
- 178[.]79.147.66:8080
- 46[.]55.222.11:443
- 103[.]8.26.102:8080
- 192[.]254.71.210:443
- 45[.]176.232.124:443
- 203[.]114.109.124:443
- 51[.]68.175.8:8080
- 58[.]227.42.236:80
- 45[.]142.114.231:8080
- 217[.]182.143.207:443
- 178[.]63.25.185:443
- 45[.]118.115.99:8080
- 103[.]75.201.2:443
- 104[.]251.214.46:8080
- 158[.]69.222.101:443
- 81[.]0.236.90:443
- 45[.]118.135.203:7080
- 176[.]104.106.96:8080
- 212[.]237.56.116:7080
- 216[.]158.226.206:443
- 173[.]212.193.249:8080
- 50[.]116.54.215:443
- 138[.]185.72.26:8080
- 41[.]76.108.46:8080
- 212[.]237.5.209:443
- 107[.]182.225.142:8080
- 195[.]154.133.20:443
- 162[.]214.50.39:7080
- 110[.]232.117.186:8080