Ботнет Emotet был выведен из строя, считали специалисты по информационной безопасности. Вредоносная сеть вернулась в строй и началась новая фишинговая кампания. В ней применяется новый метод инфицирования пользователей и компаний.
После 4-месячного перерыва Emotet снова стал активным ботнетом. Киберпреступники используют его для распространения вредоносного программного обеспечения и вирусов с помощью трюка для обхода защиты в приложениях Microsoft Office.
Emotet была одной из крупных сетей до июля 2022 года, когда спам-кампании и распространение стороннего вредоносного ПО внезапно прекратились. По данным исследовательской группы Cryptolaemus, сейчас ботнет вернулся в «режим распространения».
Это произошло 2 ноября. Тогда стартовала новая фишинговая кампания по электронной почте. Сеть распространяет вредоносные вложения Excel, отправляя их говорящим на разных языках пользователям. Вложения выдают за счета-фактуры, сканы, формы и т.д. Вредоносное ПО может представлять собой и Zip-архивы или защищённые паролем электронные таблицы XLS.
Новым инструментом стал шаблон Excel, содержащий инструкции по обходу технологии Microsoft Protected View. Защищённый просмотр помечает файлы из интернета флагом «Mark-of-the-Web». Он указывает приложениям Office открывать файлы в защищённом режиме, чтобы избежать прямого выполнения прикреплённых макросов.
Инструкции во вредоносной электронной таблице советуют пользователям скопировать файл в одну из «доверенных» папок шаблонов Microsoft Office. При открытии вредоносный документ будет обходить защищённый просмотр, выполняя макросы и распространяя вирусы от Emotet.
Новое вредоносное ПО Emotet загружается в виде dll и запускается в системе с помощью доверенного приложения Regsvr32.exe. После активации Emotet ждёт указаний от сервера ботнета. Пока сеть не загружает дополнительные вредоносные нагрузки, как было до её схода со сцены.
Одной из особенностей Emotet была возможность работать вместе с другими вредоносными операциями. Так распространялись вредоносные программы вроде TrickBot, Cobalt Strike и другие. Emotet стоял за атаками вымогателей Ryuk, Conti, BlackCat и Quantum, напоминает Techspot.
