Týden po přidání nového Emotet modulu to vypadalo, že bude následovat období nižší aktivity. Aktéři, kteří za touto hrozbou stojí, však spustili novou masivní kampaň.
Co je malware Emotet?
Emotet je rodina bankovního trojanu notoricky známá pro svou modulární architekturu, vytrvalostní techniky a šíření podobnému červům.
Podle naší telemetrie byla nová aktivita zaznamenána 5. listopadu 2018, následovala fáze s nižší aktivitou. Obrázek 1 ukazuje nárůst míry detekcí hrozby Emotet začátkem listopadu 2018.
Když se na tyto detekce podíváme v rozdělení podle jednotlivých zemí, uvidíme, že malware Emotet je nejaktivnější v USA, Spojeném Království a v Jižní Africe.
Emotet v listopadové kampani využívá škodlivé přílohy Word a PDF, například faktury, oznámení o platbách, oznámení z bankovních účtů atd. Zprávy zdánlivě pocházejí od legitimních organizací. Místo příloh mohou e-maily také obsahovat škodlivé odkazy.
Předmět v e-mailech z této kampaně naznačuje cílení na anglicky a německy mluvící uživatele. Obrázek 3 ukazuje aktivitu malwaru Emotet v listopadu 2018 z perspektivy detekcí dokumentů. Obrázky 4, 5 a 6 ukazují příklady e-mailových zpráv a příloh, které se v této kampani objevují.
Scénář napadení uživatele je jednoduchý, začíná otevřením zdánlivě legitimního dokumentu. Oběť následně dle instrukcí v dokumentu povolí makra ve Wordu nebo klikne na odkaz v PDF dokumentu. Tím se škodlivý kód Emotet nainstaluje a spustí.
V počítači zůstane a na svůj C&C server odesílá informace o úspěšném kompromitování. Zároveň také přijímá instrukce o tom, které útočné moduly ještě nainstalovat nebo jaké sekundární elementy stáhnout.
Závěr
Kampaň se nevyhnula ani České republice, ale pro české uživatele v tuto chvíli nepředstavuje akutní hrozbu. ESET produkty detekují a blokují všechny komponenty, které Emotet využívá.
V případě, že jste podobný e-mail obdrželi, nezapomeňte dodržet pravidla, která platí obecně pro všechny nevyžádané zprávy:
- E-mail neotvírejte
- Pokud ho otevřete, neklikejte na odkazy ani nestahujte přílohy
- Zprávu označte jako spam a vymažte
- Pokud znáte odesílatele, upozorněte ho, že rozesílá nevyžádanou
- poštu
- Přesvědčte se, že používáte prověřenou internetovou ochranu
Zmíněné zvýšení Emotet aktivity dokazuje, že tato hrozba je stále aktivní a díky nedávným aktualizacím modulů oprávněně narůstá obava toho, co by tento malware mohl v budoucnu způsobit.