Почивший банковский ботнет ожил и стал дистрибутором сторонних вредоносов
Использовавшийся преимущественно для распространения банковского троянца ботнет Emotet, по-видимому, теперь стал платформой для распространения сторонних вредоносов. По некоторым сведениям, его владельцы теперь также разделили единый ботнет на три или четыре сегмента, причем у каждого — своя инфраструктура.
Иногда они возвращаются к жизни
Несколько экспертов по безопасности независимо друг от друга отметили возобновление активности ботнета Emotet, который никак не проявлял себя на протяжении последних нескольких месяцев. Сейчас он вернулся, и снова рассылает спам с вредоносными вложениями разного толка.
Emotet изначально был известен как банковский троянец, крадущий реквизиты доступа к банковским аккаунтам. Теперь же Emotet отчетливо превратился в платформу для дистрибуции других вредоносов.
Разрешите вас заразить
Уже сейчас ботнет рассылает сразу несколько разновидностей вредоносного ПО. Кроме того, он обзавелся рядом новых шаблонов документов Word, используемых для социальной инженерии. С их помощью злоумышленники пытаются заставить потенциальных жертв активировать макросы в Word и таким образом открыть возможность для заражения.
Среди таких шаблонов — документ, который предлагает «принять лицензионное соглашение», для чего надо разрешить редактирование и активировать функцию «Включить содержимое» («Enable Content»). Естественно, никакие «лицензионные соглашения» не могут подразумевать отключения защитных мер в документе.
Еще один шаблон указывает, что доступ к документу возможен только если снять режим «защищенного просмотра», а для этого опять-таки потребуется разрешить редактирование и включить активное содержимое.
Если жертва поддается на эту ловушку, сразу после активации макросов на компьютер устанавливается троянец.
Помимо самих документов во вложении спам-письма Emotet иногда включают ссылки, с которых предлагается загрузить «документы». Это, видимо, делается для того, чтобы обойти спам-фильтры, блокирующие вложения.
Modus operandi
При установке Emotet как правило использует PowerShell, однако некоторые разновидности используют Windows Script Host (Wscript.exe), чтобы с помощью скриптов Jsсript установить вредоносную программу. И то и другое происходит только в том случае, если жертва активирует макросы.
Тем не менее, в качестве защитной меры можно заблокировать использование в локальной системе Wscript — для этого в системном реестре предлагается выставить значение Enabled 0 в ключе Hkey_Local_Machine\Software\Microsoft\Windows Script Host\Settings.
Три эпохи, и четвертая надвигается
По всей видимости, Emotet на данный момент — это не единый ботнет, а три разных, каждый — со своей отдельной инфраструктурой. По-видимому, на подходе еще и четвертый.
Каждая из этих сетей (которые эксперты группы Cryptolaemus назвали «эпохами») использует свои собственные командные серверы и даже разные RSA-ключи. Ботнет Epoch 1 на данный момент — крупнее и, по-видимому, является основным источником спама. В любом случае, контролируют все эти ботнеты одни и те же люди.
«Фрагментация ботнета может иметь сугубо утилитарные причины: разные его сегменты, вероятно, используются для разных целей, возможно, для атак на разные группы пользователей, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — В конечном счете, размножение ботнетов, в основе которых один и тот же вредоносный код, — явление весьма распространtнное. Группировка, стоящая за Emotet, вполне могла предоставить исходники кому-то из своих “коллег по цеху” для дальнейшего расширения функциональности. Для конечных пользователей это означает лишь увеличение угрозы».