Emotet, robot yang telah kembali dari kematian

Apa yang baru saja terjadi? Jaringan robot Emotet sudah mati, atau begitulah pikir para peneliti. Jaringan jahat sekarang kembali beraksi dengan kampanye phishing baru, mengeksploitasi teknologi baru untuk mendorong pengguna dan perusahaan menginfeksi diri mereka sendiri.

Setelah 4 bulan hiatus, Emotet aktif kembali sebagai salah satu operasi botnet paling berbahaya di luar sana. Penjahat dunia maya menggunakan jaringan untuk menyebarkan malware dan infeksi potensial lainnya, dengan trik baru yang dirancang untuk melewati perlindungan di aplikasi Microsoft Office.

Emotet dianggap sebagai salah satu infeksi paling umum hingga Juli 2022, ketika jaringan tersebut tiba-tiba menghentikan kampanye spam dan distribusi malware pihak ketiga. Sekarang, robot kembali Itu dalam “mode distribusi,” menurut kelompok riset Cryptolaemus.

Emotet lagi dalam Mode Distro🚨 – Mulai pukul 0800 UTC E4 spam telah dimulai dan mulai pukul 0930 UTC E5 spam telah dimulai lagi. Sepertinya Evan membutuhkan uang lagi, jadi dia kembali bekerja. Waspadai file XLS yang dilampirkan langsung dan file XLS terkompresi yang dilindungi kata sandi. 1 / detik

– Cryptolaemus (@Cryptolaemus1) 2 November 2022

Bot Emotet yang terkenal mulai mengirim spam lagi pada 2 November, dengan kampanye phishing email baru yang menargetkan utas balasan email yang dicuri. Jaringan sekarang mendistribusikan lampiran Excel yang berbahaya, mengirimkannya ke pengguna yang berbicara bahasa yang berbeda sambil berpura-pura menjadi faktur, pindaian, formulir, dan “umpan” lainnya. Malware juga dapat berupa arsip zip yang dilindungi kata sandi atau spreadsheet XLS.

Kampanye Emotet baru-baru ini memperkenalkan alat baru ke gudang bot – template Excel yang menyertakan instruksi untuk melewati teknologi Tampilan Terlindungi Microsoft. Tampilan Terproteksi menandai file dari Internet dengan “Mark-of-the-Web,” yang menginstruksikan aplikasi Office untuk membuka file tersebut dalam mode terproteksi, sehingga menghindari eksekusi langsung makro yang dilampirkan.

Petunjuk dalam spreadsheet berbahaya menyarankan pengguna untuk menyalin file ke salah satu folder formulir “tepercaya” di Microsoft Office. Saat dibuka dari lokasi tepercaya, dokumen berbahaya akan melewati Tampilan Terproteksi, menjalankan makro bawaan, dan menyebarkan infeksi Emotet.

Malware Emotet baru diunduh sebagai Dll dan dijalankan pada sistem menggunakan alat Regsvr32.exe yang sah. Setelah diaktifkan, Emotet duduk dengan tenang, menunggu instruksi dari server perintah-dan-kontrol bot. Saat ini, jaringan tampaknya tidak menjatuhkan muatan berbahaya tambahan seperti sebelum menghilang.

Salah satu fitur paling populer Emotet adalah kemampuannya untuk bekerja sama dengan proses jahat lainnya, menyebarkan malware berbahaya seperti TrickBot, Cobalt Strike, dan lainnya. Di masa lalu, Emotet adalah kekuatan yang kuat di balik penyerang ransomware seperti Ryuk, Conti, BlackCat, dan Quantum. Bot menyediakan akses awal ke jaringan dan perangkat yang sudah terinfeksi untuk memfasilitasi penyebaran ransomware.