Kampaň vsadila na následující:

• Využila jméno reálné a globálně známé osoby
• Vánoční načasování
• Zájem o ochranu životní prostředí
• Časopis Time vyhlásil Gretu Thunberg osobností roku

Načasování kampaně na Vánoce je strategické, protože o Vánocích lidé dostávají řadu výzev od občanských hnutí a charitativních organizací. Zpráva mezi ostatními nevypadala podezřele. Lidé o Vánocích více bilancují a zapojují se i do aktivit, které pro ně jindy nejsou tak významné.

Here’s a screenshot of the Greta Thunberg themed #emotet email: pic.twitter.com/wHcQL5nf2z

— ExecuteMalware (@executemalware) 19. prosince 2019

Zajímavé na celé kampani využití reálií. Jednak byla Thunberg vyhlášena osobností roku časopisu Time a také měla v lednu 2020 odjet na Světové ekonomické fórum. Útočníci tak předpokládali, že její jméno bude v médiích rezonovat i po novém roce.

Všimněte si také výzvy na konci e-mailu „Přepošlete e-mail, než zapomenete“. Výzva je to logická, to jen dokazuje, jak dobře útočníci rozumí psychologii uživatelů.

Jak Emotet zneužívá klimatické otázky?

E-mailem přišlo obyčejné vánoční přání s výzvou k zapojení se do ekologických aktivit. Detailní informace o čase a místě demonstrace měly být v příloze e-mailu s názvem „Podpořte Gretu Thunberg.doc.“

Po otevření dokumentu, se objevila výzva k povolení úprav. Řada uživatelů podobné výzvy potvrdí automaticky. Tím se ale Emotet instaluje. Následně může malware zneužít počítač a odesílat další spam, případně stahovat do počítače další malware.

Spam cílil na e-mailové adresy s doménou .com. Nejvýraznější byla kampaň například v Japonsku, Německu a Itálii. Níže můžete vidět několik dalších jazykových mutací:

Jak se chránit?

Nespoléhejte na jazyk. Útočníci jsou vám dnes schopni poslat e-mail v češtině, který bude mít i hezké grafické zpracování. Jakmile dostanete jakoukoli nevyžádanou zprávu, postupujte obezřetně. Dobře zvažte, zda je nabídka a výzva legitimní a zda dává smysl. Legitimitu si případně ověřte na oficiálních stránkách odesílatele nebo telefonicky.

Podobně skryté hrozby dokáže identifikovat instalovaný spolehlivý bezpečnostní software.

Podezřelé přílohy nestahujte, a pokud ano, ověřte si je na VirusTotal.com před tím, než je otevřete.

Co je malware Emotet?

Emotet je rodina bankovního trojanu notoricky známá pro svou modulární architekturu, vytrvalostní techniky a šíření podobnému červům.

Podle naší telemetrie byla nová aktivita zaznamenána 5. listopadu 2018, následovala fáze s nižší aktivitou. Obrázek 1 ukazuje nárůst míry detekcí hrozby Emotet začátkem listopadu 2018.

Když se na tyto detekce podíváme v rozdělení podle jednotlivých zemí, uvidíme, že malware Emotet je nejaktivnější v USA, Spojeném Království a v Jižní Africe.

Emotet v listopadové kampani využívá škodlivé přílohy Word a PDF, například faktury, oznámení o platbách, oznámení z bankovních účtů atd. Zprávy zdánlivě pocházejí od legitimních organizací. Místo příloh mohou e-maily také obsahovat škodlivé odkazy.

Předmět v e-mailech z této kampaně naznačuje cílení na anglicky a německy mluvící uživatele. Obrázek 3 ukazuje aktivitu malwaru Emotet v listopadu 2018 z perspektivy detekcí dokumentů. Obrázky 4, 5 a 6 ukazují příklady e-mailových zpráv a příloh, které se v této kampani objevují.

Scénář napadení uživatele je jednoduchý, začíná otevřením zdánlivě legitimního dokumentu. Oběť následně dle instrukcí v dokumentu povolí makra ve Wordu nebo klikne na odkaz v PDF dokumentu. Tím se škodlivý kód Emotet nainstaluje a spustí.

V počítači zůstane a na svůj C&C server odesílá informace o úspěšném kompromitování. Zároveň také přijímá instrukce o tom, které útočné moduly ještě nainstalovat nebo jaké sekundární elementy stáhnout.

Závěr

Kampaň se nevyhnula ani České republice, ale pro české uživatele v tuto chvíli nepředstavuje akutní hrozbu. ESET produkty detekují a blokují všechny komponenty, které Emotet využívá.

V případě, že jste podobný e-mail obdrželi, nezapomeňte dodržet pravidla, která platí obecně pro všechny nevyžádané zprávy:

• E-mail neotvírejte
• Pokud ho otevřete, neklikejte na odkazy ani nestahujte přílohy
• Zprávu označte jako spam a vymažte
• Pokud znáte odesílatele, upozorněte ho, že rozesílá nevyžádanou
• poštu
• Přesvědčte se, že používáte prověřenou internetovou ochranu

Zmíněné zvýšení Emotet aktivity dokazuje, že tato hrozba je stále aktivní a díky nedávným aktualizacím modulů oprávněně narůstá obava toho, co by tento malware mohl v budoucnu způsobit.