Güvenlik araştırmacılarına göre, suçlular tarafından dünya çapında kötü amaçlı yazılım dağıtmak için kullanılan Emotet botnet, şüpheli olmayan kullanıcılardan kredi kartı bilgilerini çalmaya çalışmaya başladı. Kötü amaçlı yazılım, popüler Google Chrome tarayıcısını hedef alıyor ve ardından sızan bilgileri komuta ve kontrol sunucularına gönderiyor. Emotet botnetinin yeniden dirilişi, Europol ve uluslararası kolluk kuvvetlerinin Ocak 2021’de botnetin altyapısını kapatmasından ve botnet’i virüslü bilgisayarlardan kötü amaçlı yazılımları kaldırmak için yazılım sağlamak için kullanmasından bir yıldan fazla bir süre sonra geldi.
Siber güvenlik platformu Proofpoint, 6 Haziran’da kredi kartı hırsızı şeklinde yeni bir Emotet modülü getirmesinin düştüğünü tespit etti. Kötü amaçlı yazılım yalnızca, platformlar arasında en yaygın kullanılan tarayıcılardan biri olan Google Chrome’u hedefler. Araştırmacılara göre, modül bir sunucudan düşerken, Chrome’dan toplanan kredi kartı bilgileri (kart numaraları ve son kullanma tarihleri dahil) daha sonra farklı bir komuta ve kontrol (C2) sunucusuna yükleniyor.
6 Haziran’da Proofpoint yeni bir #Emotet modül E4 botnet tarafından düşürülüyor. Şaşırtıcı bir şekilde, yalnızca Chrome tarayıcısını hedefleyen bir kredi kartı hırsızıydı. Kart ayrıntıları toplandıktan sonra, modül yükleyiciden farklı C2 sunucularına aktarıldı. pic.twitter.com/zy92TyYKzs
— Tehdit İçgörüsü (@tehdit İçgörüsü) 7 Haziran 2022
Emotet ilk olarak 2014 yılında bankacılık truva atı olarak yaratıldı, ancak daha sonra aynı ağdaki verileri çalmak, casusluk yapmak ve diğer cihazlara saldırmak için kötü amaçlı yazılımlar göndermek için kullanılan ve Mumya Örümcek olarak da bilinen TA542 tehdit grubuna dönüştü. Diğer kötü şöhretli kötü amaçlı yazılımları kurbanların bilgisayarlarına bırakmak için kullanıldı. 2020’de Check Point Research, Japon kullanıcılara koronavirüs temalı bir e-posta kampanyası bulaştırmak için botnet kullanımını işaretlemişti. Ocak 2021’de altı ulustan oluşan bir yaptırım ekibi kapat üretken ağ ve altyapıyı devre dışı bıraktı.
Ancak, siber güvenlik platformu Deep Instinct devletler Şubat ve Mart 2022’de Japon işletmelere karşı yapılan büyük kimlik avı kampanyalarıyla, Nisan ve Mayıs aylarında yeni bölgelere yayılan Emotet botnet’in yeni çeşitleri 2021’in dördüncü çeyreğinde ortaya çıktı. Emotet botnet’e, Trickbot kötü amaçlı yazılımını yaratan kötü şöhretli başka bir grup tarafından da yardım edildiği iddia ediliyor.
Deep Instinct’e göre, Emotet algılamaları 2022’nin ilk çeyreğinde 2021’in 4. çeyreğine kıyasla yüzde 2.700’den fazla arttı. Kötü amaçlı yazılımların yüzde kırk beşi bir Microsoft Office eki kullanıyordu. Bu arada Emotet, Windows PowerShell komut dosyalarını kullanmaya başladı ve kötü amaçlı yazılımların neredeyse yüzde 20’si 2017 Microsoft Office’ten yararlanıyordu. güvenlik açığı.
#Emotet botnet, etkinliği T3 2021’e göre 100 kattan fazla artarken, T1 2022’de daha yüksek bir vitese geçti. #ESETaraştırma en büyük kampanyasını 16 Mart’ta Japonya ????????, İtalya ???????? ve Meksika’yı ?????????? hedef aldı. 1/4 pic.twitter.com/NHZtLJ4BfP
— ESET araştırması (@ESETresearch) 7 Haziran 2022
Öte yandan, ESET araştırmacıları açıkladı Emotet botnet etkinliğinin 2021’e kıyasla yaklaşık yüz kat büyüdüğünü ve en büyük kampanyanın 16 Mart’ta Japonya, İtalya ve Meksika’yı hedef aldığını tespit etti. Microsoft, güvenlik önlemi olarak Nisan ayında Office yazılımındaki makroları devre dışı bırakarak botnet’in kötü amaçlı LNK dosyalarını (Windows kısayolları) kullanmasına ve Discord aracılığıyla kötü amaçlı yazılım dağıtmasına neden oldu.
Emotet botnet tarafından etkilenme olasılığını azaltmak için, kullanıcılar işletim sistemlerinin ve programlarının her zaman güncel olduğundan emin olmalı, ayrı olarak saklanan önemli bilgilerin düzenli yedeklerini almalıdır. Kötü amaçlı yazılım öncelikle kötü amaçlı e-posta kampanyaları yoluyla yayılır, bu nedenle kullanıcılar bağlantıları açmaktan veya tıklamaktan ve bilinmeyen göndericilerden gelen ekleri indirmekten kaçınmalıdır.