Hatóságok hiába kapcsolták le az Emotet vírust terjesztő botnetet tavaly év elején, egy év sem kellett ahhoz, hogy a kiberbűnözők újraindítsák a malware terjesztését. A VMware friss elemzése pillanatképet nyújt az aktuális Emotet technikákról és módszerekről.
A megfigyelt Emotet kampányok során a kezdeti fertőzés elsősorban kéretlen levelekben szereplő káros Microsoft dokumentumokkal kezdődött, 2022 januárja óta azonban a szakértők három külön altípust is megfigyeltek a payload (a tényleges káros kód) letöltése kapcsán:
- A – A payload XL4 makróval direkt módon töltődik le
- B – A payload XL4 makróval és PowerShell parancsok segítségével töltődik le
- C – A payload Visual Basic Application (VBA) makrók és PowerShell parancsok segítségével töltődik le
Az Emotet egy multifinkciós káros kód, immáron nyolc modulja ismert, amelyek közül kettő (bankkáryta adatlopó és az SMB protokollt kihasználó) új fejlesztés.
- Törzsmodul (payload)
- SPAM modul
- Thunderbird e-mail kliens fióklopómodul
- Egy Outlook e-mail kliens fióklopó modul
- Bankkártya adatlopó (kifejezetten a Chrome böngésző ellen készült)
- Hálózati terjedésre szolgáló modul, ami az SMB protokollt használja
- Beágyazott MailPassView alkalmazással rendelkező modul
- Beágyazott WebBrowserPassView alkalmazással rendelkező modul
Az Emotet utóbbi variánsai esetében további fejlesztésként figyelhető meg, hogy az Emotet fertőzéseknél egyre gyakrabban kerülnek alkalmazásra LOLBin (Living-off-the -land), azaz natív, Microsoft által megbízhatónak tartott alkalmazások, mint például a mshta.exe, illetve a PowerShell, ezzel is megnehezítve a detektálást.
Az Emotet kapcsán az NBSZ NKI többször adott ki riasztást az elmúlt évek során. A botnet azért is jelent kiemelt fenyegetést, mert gyakran további káros kódok (Trickbot, QBot, illetve zsarolóvírusok ─ Conti, ProLock, Ryuk, Egregor ─ terjesztésére is használják.
Indikátorok (IoC):
131[.]100.24.231:80
209[.]59.138.75:7080
103[.]8.26.103:8080
51[.]38.71.0:443
212[.]237.17.99:8080
9[.]172.212.216:8080
207[.]38.84.195:8080
104[.]168.155.129:8080
178[.]79.147.66:8080
46[.]55.222.11:443
103[.]8.26.102:8080
192[.]254.71.210:443
45[.]176.232.124:443
203[.]114.109.124:443
51[.]68.175.8:8080
58[.]227.42.236:80
45[.]142.114.231:8080
217[.]182.143.207:443
178[.]63.25.185:443
45[.]118.115.99:8080
103[.]75.201.2:443
104[.]251.214.46:8080
158[.]69.222.101:443
81[.]0.236.90:443
45[.]118.135.203:7080
176[.]104.106.96:8080
212[.]237.56.116:7080
216[.]158.226.206:443
173[.]212.193.249:8080
50[.]116.54.215:443
138[.]185.72.26:8080
41[.]76.108.46:8080
212[.]237.5.209:443
107[.]182.225.142:8080
195[.]154.133.20:443
162[.]214.50.39:7080
110[.]232.117.186:8080
