Emotet botnet, artık Google Chrome kullanıcı profillerinde depolanan kredi kartı bilgilerini çalan yepyeni bir modüle sahip.
Emotet ilk olarak Proofpoint’ten 6 Haziran’da yeni modülü çıkaran siber güvenlik araştırmacıları tarafından fark edildi. Chrome kullanıcı profillerinde saklanan adları, son kullanma tarihlerini ve kart numaralarını çalmaya çalışıyor. İlginç bir ayrıntı, hırsızın verileri modül yükleyiciden farklı bir komut ve kontrol (C2) sunucusuna sızdırmasıdır.
Emotet epey yol kat etti. Bir yıl önce Alman kolluk kuvvetleri, kötü amaçlı yazılımı kaldıran bir modül sunmak için kendi altyapısını kullandığında, neredeyse tamamen şebekeden silindi. (yeni sekmede açılır)tüm virüslü cihazlardan.
İfade geri döndü
Yarım yıl sonra Kasım 2021’de, birkaç siber güvenlik araştırmacısı, Trickbot’un Emotet olarak tanımlanan bir DLL dosyasını sisteme indirmeye çalıştığını fark ettiğinde geri döndü.
Bir aydan biraz daha uzun bir süre önce, Emotet operatörlerinin dağıtım için Microsoft Office makrolarından uzaklaşıp Windows kısayol dosyalarına (.lnk) doğru hareket ettikleri görüldü.
Kötü amaçlı yazılım ilk olarak 2014 yılında vahşi doğada görüldü. O zamanlar bankacılık truva atı olarak kullanılıyordu, ancak o zamandan beri bir botnet’e dönüştü. Bazı araştırmacılar, Mummy Spider (AKA TA542) olarak bilinen bir tehdit aktörü tarafından ikinci aşama virüsler için bir damlalık görevi görmesi için geliştirildiğine inanıyor. Diğerlerinin yanı sıra, Emotet, Qbot’u ve Trickbot’u da, sırayla, Kobalt Strike işaretçileri ve çeşitli fidye yazılımları teslim ederken görüldü. (yeni sekmede açılır) Ryuk veya Conti dahil olmak üzere suşlar.
Bugün, hassas ve kişisel olarak tanımlanabilir verileri çalabiliyor, güvenliği ihlal edilmiş ağlar üzerinden hareket eden trafiği gözetleyebiliyor ve yanlamasına hareket edebiliyor.
ESET’ten siber güvenlik araştırmacıları kısa süre önce Emotet’in bu yıl aktivitesinde önemli bir artış olduğunu ve “etkinliğinin T3 2021’e göre 100 kattan fazla arttığını” söyledi.
Aracılığıyla: BleeBilgisayar (yeni sekmede açılır)