Emotet malware, kötü amaçlı yazılımları dağıtmak için spam kampanyaları ve kötü amaçlı ekleri kullanarak, geçmişte en yaygın kötü amaçlı yazılım kabul edildi.
Emotet daha sonra diğer spam kampanyalarını gerçekleştirmek ve Qakbot (QBOT) ve Trickbot kötü amaçlı yazılım gibi diğer yükleri yüklemek için enfekte cihazları kullanır. Bu yükler daha sonra Ryuk, Conti, Prolock, Egregor ve diğerleri dahil olmak üzere fidye yazılımını dağıtmak için tehdit aktörlerine ilk erişim sağlamak için kullanılacaktır.
Yılın başında, Europol ve Eurojust tarafından koordine edilen uluslararası bir kolluk kuvvetleri emotet altyapısını devraldı ve iki kişiyi tutukladı.
Alman kolluk kuvvetleri, 25 Nisan 2021'de kötü amaçlı yazılımları enfekte olmuş cihazlardan kaldıran bir emotet modülü sunma altyapısını kullandı.
Günümüzde, Cryptolaemus, GData ve Advanced Intel'ten gelen araştırmacılar Trickbot Kötü Amaçlı Yazılımları, enfekte olmuş cihazlarda emotet için bir yükleyiciyi bırakarak görmeye başladı.
Bu bizim 3. yıldönümü olan Cryptolaemus1. Tüm takipleriniz için teşekkür ederiz ve bu 3 yıldır Intel'in paylaşılması! Kutlamak için, Ivan, dışarı çıkıp partinin bir parçası olmak istediği için yeni bir emotet sürümü yayınladı. Yakında daha fazla ayrıntı geliyor. Her zaman olduğu gibi urlhaus pic.twitter.com/qwvel32ibb
Geçmişte, Emotet Trickbot'u takarken, tehdit aktörleri şimdi TrickBot'un mevcut altyapısını kullanarak emotet botnetini yeniden oluşturmak için "İşletim Reartonound" adlı bir yöntem kullanıyor.
Duyurma Uzmanı ve Cryptolaemus Araştırmacı Joseph Roosent, BleepingComputer'a, spam aktivitesini yapan ya da kötü amaçlı yazılımları düşüren kötü amaçlı belgeleri bulduklarını görmediklerini söyledi.
Bu spam aktivitesinin olmaması, emotet altyapısının sıfırdan ve yeni cevap zinciri e-postalarının gelecekteki spam kampanyalarındaki mağdurlardan çalınmasından kaynaklanmasından kaynaklanmaktadır.
Emotet Araştırma Grubu Cryptolaemus, yeni emotet yükleyiciyi analiz etmeye başladı ve BleepingComputer'a önceki varyantlara kıyasla yeni değişiklikler içerdiğini söyledi.
"Şimdiye kadar komut tamponunun değiştiğini kesinlikle onaylayabiliriz. Şimdi 3-4 yerine 7 komut var. İndirilen ikili dosyalar için çeşitli yürütme seçenekleri (sadece DLL'ler değil)," dedi.
Advanced Intel'in Vitali Kremez, yeni emotet damlalıkını da analiz etti ve kötü amaçlı yazılım botnetinin yeniden doğuşunun muhtemelen fidye yazılımı enfeksiyonlarında dalgalanmaya yol açması konusunda uyardı. Kremez, "Commodity Loader Ecosystem'in kıtlığı verdiği önemli fidye yazılımı operasyonlarını yakalayan olası yaklaşan emotet kötü amaçlı yazılım faaliyetlerinin erken bir işaretidir" dedi.
"Ayrıca, bu da emotet'in takibatının, kötü amaçlı yazılım oluşturucuyu engellemesini engellemesini ve arka uç sistemini hayata geçirmelerini engellemediğini söyler."
TrickBot tarafından düşen emotet yükleyici örnekleri URLAUS'ta bulunabilir.
Kremez, BleepingComputer'a şu anki emotet yükleyici DLL dosyasının "6191769A (Güneş 14 Kasım 20:50:34 2021) bir derleme zaman damgası olduğunu söyledi."
Kötü Amaçlı Yazılım Kâr Amacı Gütmeyen Organizasyon Abuse.ch, yeni Emotet Botnet tarafından kullanılan ve ağ yöneticilerinin ilişkili IP adreslerini engellemesini şiddetle önerir.
Taze, aktif Emotet Botnet C2 sunucuları şimdi Feodo Tracker'a itildi https://t.co/tvijyqhyvs Sizi * blok * bu C2 sunucularını * engelliyoruz ve maksimum korumayı almak için blok listenizi düzenli olarak güncelledik! Https: //t.co/if21bbhtpo pic.twitter.com/sdysouhxxb
Ne yazık ki, yeni emotet altyapısı hızla artıyor, 246'dan fazla virüslü cihazla birlikte komut ve kontrol sunucuları olarak hareket ediyor.
Ağ yöneticilerinin, cihazlarının yeni Reformlu Emotet Botnet'e atlanmasını önlemek için tüm ilgili IP adreslerini engellemesi için güçlü bir şekilde tavsiye edilir.
Flubot Android Malware şimdi sahte güvenlik güncellemeleri ile yayılır
Microsoft, HTML kaçakçılığı kimlik avı saldırılarında dalgalanma uyarıları
Botenago Botnet, 33 istismarlı milyonlarca iot cihazını hedefliyor
Trickbot, Conti Ransomware saldırıları için Shatak Phishers ile takımlar
Spam gönderenler Kobalt grevini bırakmak için Squirrelwaffle Malware'i kullanır
Kaynak: Bleeping Computer