Операція зі зловмисним програмним забезпеченням Emotet знову розповсюджує шкідливі електронні листи після майже п’ятимісячної «канікули», під час якої сумнозвісна операція з кіберзлочинності не мала активності.
Emotet — це зловмисне програмне забезпечення, яке поширюється через фішингові кампанії, що містять шкідливі документи Excel або Word. Коли користувачі відкривають ці документи та вмикають макроси, Emotet DLL буде завантажено та завантажено в пам’ять.
Після завантаження зловмисне програмне забезпечення шукатиме та викрадає електронні листи, щоб використовувати їх у майбутніх спам-кампаніях, і видалятиме додаткові корисні навантаження, такі як Cobalt Strike або інше шкідливе програмне забезпечення, яке зазвичай призводить до атак програм-вимагачів. Хоча Emotet вважався найбільш поширеним зловмисним програмним забезпеченням у минулому, 13 червня 2022 року воно раптово припинило спам.
🚨Emotet back in Distro Mode🚨 – As of 0800 UTC E4 began spamming and as of 0930 UTC E5 began spamming again. Looks like Ivan is in need of some cash again so he went back to work. Be on the lookout for direct attached XLS files and zipped and password protected XLS. 1/x
— Cryptolaemus (@Cryptolaemus1) November 2, 2022
Дослідники з дослідницької групи Emotet Cryptolaemus повідомили, що приблизно о 4:00 ранку за східним часом 2 листопада операція Emotet раптово знову ожила, розсилаючи спам на адреси електронної пошти по всьому світу.
Дослідник загроз Proofpoint і член Cryptolaemus Томмі Маджар розповів BleepingComputer, що сучасні кампанії електронної пошти Emotet використовують ланцюжки викрадених електронних листів для розповсюдження шкідливих вкладень Excel. Зі зразків, завантажених у VirusTotal, BleepingComputer бачив вкладення, націлені на користувачів у всьому світі під різними мовами та назвами файлів, видаючи за рахунки-фактури, скани, електронні форми та інші приманки. Джерело