Malware Emotet se vrátil s novou masivní SPAM kampaní

Jan Kubeš

5 roky ago

Týden po přidání nového Emotet modulu to vypadalo, že bude následovat období nižší aktivity. Aktéři, kteří za touto hrozbou stojí, však spustili novou masivní kampaň.

Co je malware Emotet?

Emotet je rodina bankovního trojanu notoricky známá pro svou modulární architekturu, vytrvalostní techniky a šíření podobnému červům.

Podle naší telemetrie byla nová aktivita zaznamenána 5. listopadu 2018, následovala fáze s nižší aktivitou. Obrázek 1 ukazuje nárůst míry detekcí hrozby Emotet začátkem listopadu 2018.

Obrázek 1 – Přehled ESET detekcí zachycujících malware Emotet za poslední dva týdny. Zdroj: welivesecurity.com

Když se na tyto detekce podíváme v rozdělení podle jednotlivých zemí, uvidíme, že malware Emotet je nejaktivnější v USA, Spojeném Království a v Jižní Africe.

Obrázek 2 – Distribuce ESET detekcí zachycujících malware Emotet v listopadu 2018 (včetně souborových a síťových detekcí). Zdroj: welivesecurity.com

Emotet v listopadové kampani využívá škodlivé přílohy Word a PDF, například faktury, oznámení o platbách, oznámení z bankovních účtů atd. Zprávy zdánlivě pocházejí od legitimních organizací. Místo příloh mohou e-maily také obsahovat škodlivé odkazy.

Předmět v e-mailech z této kampaně naznačuje cílení na anglicky a německy mluvící uživatele. Obrázek 3 ukazuje aktivitu malwaru Emotet v listopadu 2018 z perspektivy detekcí dokumentů. Obrázky 4, 5 a 6 ukazují příklady e-mailových zpráv a příloh, které se v této kampani objevují.

Obrázek 3 – Distribuce ESET detekcí zachycujících malware Emotet v listopadu 2018 (včetně souborových a síťových detekcí). Zdroj: welivesecurity.com

Scénář napadení uživatele je jednoduchý, začíná otevřením zdánlivě legitimního dokumentu. Oběť následně dle instrukcí v dokumentu povolí makra ve Wordu nebo klikne na odkaz v PDF dokumentu. Tím se škodlivý kód Emotet nainstaluje a spustí.

V počítači zůstane a na svůj C&C server odesílá informace o úspěšném kompromitování. Zároveň také přijímá instrukce o tom, které útočné moduly ještě nainstalovat nebo jaké sekundární elementy stáhnout.

Příklad nevyžádaného e-mailu použitého v Emotet kampani. Zdroj: welivesecurity.com

Příklad škodlivého Word dokumentu použitého v Emotet kampani. Zdroj: welivesecurity.com

Příklad škodlivého PDF dokumentu použitého v Emotet kampani. Zdroj: welivesecurity.com

Závěr

Kampaň se nevyhnula ani České republice, ale pro české uživatele v tuto chvíli nepředstavuje akutní hrozbu. ESET produkty detekují a blokují všechny komponenty, které Emotet využívá.

V případě, že jste podobný e-mail obdrželi, nezapomeňte dodržet pravidla, která platí obecně pro všechny nevyžádané zprávy:

E-mail neotvírejte
Pokud ho otevřete, neklikejte na odkazy ani nestahujte přílohy
Zprávu označte jako spam a vymažte
Pokud znáte odesílatele, upozorněte ho, že rozesílá nevyžádanou
poštu
Přesvědčte se, že používáte prověřenou internetovou ochranu

Zmíněné zvýšení Emotet aktivity dokazuje, že tato hrozba je stále aktivní a díky nedávným aktualizacím modulů oprávněně narůstá obava toho, co by tento malware mohl v budoucnu způsobit.