Régi-új kártevő: visszatért az Emotet

Nagy kampányokat még nem észleltünk ugyan, de egy kártevő elemzéséből kiderült, hogy fű alatt visszatért az Emotet.

Tavaly januárban nyolc ország koordinált összefogásának köszönhetően sikerült lekapcsolni az évtized legkártékonyabb botnetét, az Emotet-et. A kártevő a becslések szerint addig 3500 millió dolláros kárt okozott. Az idén azonban újból megjelent, igaz, a saját terjesztési infrastruktúra nélkül már lassabban okoz kárt.

Az Emotet 2014-ben jelent meg először, akkor még csak banki trójaiként vetették be, illetve az azonosítók ellopására használták. Azonban a kártevőt folyamatosan tovább fejlesztették, igazi svájcibicska lett belőle: spambotként, információt ellopó kártevőként egyaránt használható volt, de a Trickbot és a Ryuk zsarolóvírus terjesztésére is használták. Az Emotet botnetet az is veszélyessé tette, hogy bárki kibérelhette, és saját céljaira felhasználhatta. Naponta rengeteg variáns jelent meg belőle.

A G DATA szakembereinek friss elemzése azt mutatja, hogy az Emotet visszatért. A 2021 novemberében elfogott minta sok tekintetben technikailag rendkívül hasonlít az eredeti Emotethez, a forráskód elemzése is ezt támasztja alá.

Különbségek is vannak: a hálózati forgalmat például továbbra titkosítja, azonban erre az új variáns egy saját maga által aláírt HTTPS-tanúsítványt használ.

A szakemberek egyelőre nem figyeltek meg nagy levélszemét-kampányokat az új variánsú Emotet-tel kapcsolatban. Azt tapasztalták, hogy .docm és .xlms kiterjesztésű csatolmányokban, ahogyan jelszó által védett ZIP-csatolmányokban is próbálkoztak terjesztésével. Mivel a saját terjesztési hálózatát tavaly lekapcsolták, jelenleg a Trickbot infrastruktúráját használja terjedéséhez.

A G DATA védelmi szoftvert használók védettek az új Emotet variánsokkal szemben.