Birkaç ay kayıp kaldıktan sonra korkunç Emotet botnet geri döndü ve yeni numaralar sunuyor.
Deep Instinct’ten siber güvenlik araştırmacıları, kısa bir süre önce kötü şöhretli kötü amaçlı yazılımın yeni bir çeşidini tespit etti ve antivirüs programlarının tespitinden kaçmasına yardımcı olan birkaç yeni numarayla güncellendiğini iddia etti. Ars Teknik (yeni sekmede açılır) bildirildi.
Rapora göre, Emotet en iyi yaptığı şeyi yapıyor – silah haline getirilmiş Word dosyalarını e-posta yoluyla dağıtmak, – etkinleştirildiğinde – üçüncü taraf bir web sitesinden kötü amaçlı bir yük indirmeyi tetikleyen makrolar taşımak. Dağıtılan dosya “pompalandı” – büyük boyutlara şişirildi. Bu, antivirüs tetiklemesinden kaçınmasına yardımcı olur.
Makroları etkinleştirme
Emotet, dosyayı “pompalamak” için farklı yöntemler kullanır – bazen belgenin sonuna yalnızca sıfırlar eklenir ve bazen Moby Dick’ten tüm paragraflar kopyalanıp yapıştırılır – beyaz bir arka plana karşı beyaz renkli yazı tipinde, böylece görülemez
Araştırmacılar, dosyanın boyutunun ortalama olarak 500 MB’tan fazla olduğunu söyledi. Bu boyuttaki dosyalar genellikle virüsten koruma programları tarafından taranmaz.
Belgenin içeriği de, kurbanı makroları etkinleştirmesi için kandırmak amacıyla “belge korunuyor” yazan bir üst üste bindirilmiş mesajla bulanıklaştırılıyor.
Böyle bir durumda Word belgesi, yine “pompalanmış” kötü amaçlı bir .DLL dosyası indirir. .DLL, saldırıya uğramış ve kötü amaçlı yazılımı dağıtmak için katır olarak kullanılan meşru bir üçüncü taraf sitesinde barındırılıyor.
Kurban bilmeden Emotet’i indirirse uç noktayı şifreler ve diğer hassas veriler için tarar ve uzak bir konuma çıkarır.
Ayrıca, güvenliği ihlal edilmiş cihazı daha fazla kurbana yaymak için kullanacak. Daha önce belirtildiği gibi, Emotet genellikle herhangi bir şüphe uyandırmamak için mevcut bir e-posta zincirine dokunarak ve önceki bir mesajı yanıtlayarak e-posta yoluyla yayılır. Emotet e-postada kurbana adıyla da hitap edecek.
Son olarak botnet, Ryuk fidye yazılımı veya TrickBot kötü amaçlı yazılımı gibi ek kötü amaçlı yükleri indirebilir.