Malware Emotet se vrátil s novou masivní SPAM kampaní

Ilustrační obrázek

Týden po přidání nového Emotet modulu to vypadalo, že bude následovat období nižší aktivity. Aktéři, kteří za touto hrozbou stojí, však spustili novou masivní kampaň.

Co je malware Emotet?

Emotet je rodina bankovního trojanu notoricky známá pro svou modulární architekturu, vytrvalostní techniky a šíření podobnému červům.

Podle naší telemetrie byla nová aktivita zaznamenána 5. listopadu 2018, následovala fáze s nižší aktivitou. Obrázek 1 ukazuje nárůst míry detekcí hrozby Emotet začátkem listopadu 2018.

Obrázek 1 – Přehled ESET detekcí zachycujících malware Emotet za poslední dva týdny. Zdroj: welivesecurity.com

Když se na tyto detekce podíváme v rozdělení podle jednotlivých zemí, uvidíme, že malware Emotet je nejaktivnější v USA, Spojeném Království a v Jižní Africe.

Obrázek 2 – Distribuce ESET detekcí zachycujících malware Emotet v listopadu 2018 (včetně souborových a síťových detekcí). Zdroj: welivesecurity.com

Emotet v listopadové kampani využívá škodlivé přílohy Word a PDF, například faktury, oznámení o platbách, oznámení z bankovních účtů atd. Zprávy zdánlivě pocházejí od legitimních organizací. Místo příloh mohou e-maily také obsahovat škodlivé odkazy.

Předmět v e-mailech z této kampaně naznačuje cílení na anglicky a německy mluvící uživatele. Obrázek 3 ukazuje aktivitu malwaru Emotet v listopadu 2018 z perspektivy detekcí dokumentů. Obrázky 4, 5 a 6 ukazují příklady e-mailových zpráv a příloh, které se v této kampani objevují.

Obrázek 3 – Distribuce ESET detekcí zachycujících malware Emotet v listopadu 2018 (včetně souborových a síťových detekcí). Zdroj: welivesecurity.com

Scénář napadení uživatele je jednoduchý, začíná otevřením zdánlivě legitimního dokumentu. Oběť následně dle instrukcí v dokumentu povolí makra ve Wordu nebo klikne na odkaz v PDF dokumentu. Tím se škodlivý kód Emotet nainstaluje a spustí.

V počítači zůstane a na svůj C&C server odesílá informace o úspěšném kompromitování. Zároveň také přijímá instrukce o tom, které útočné moduly ještě nainstalovat nebo jaké sekundární elementy stáhnout.

Závěr

Kampaň se nevyhnula ani České republice, ale pro české uživatele v tuto chvíli nepředstavuje akutní hrozbu. ESET produkty detekují a blokují všechny komponenty, které Emotet využívá.

V případě, že jste podobný e-mail obdrželi, nezapomeňte dodržet pravidla, která platí obecně pro všechny nevyžádané zprávy:

Zmíněné zvýšení Emotet aktivity dokazuje, že tato hrozba je stále aktivní a díky nedávným aktualizacím modulů oprávněně narůstá obava toho, co by tento malware mohl v budoucnu způsobit.

Exit mobile version