Спецпроекты

ПО Безопасность Бизнес ИТ в банках

Почивший банковский ботнет ожил и стал дистрибутором сторонних вредоносов

Использовавшийся преимущественно для распространения банковского троянца ботнет Emotet, по-видимому, теперь стал платформой для распространения сторонних вредоносов. По некоторым сведениям, его владельцы теперь также разделили единый ботнет на три или четыре сегмента, причем у каждого — своя инфраструктура.

Иногда они возвращаются к жизни

Несколько экспертов по безопасности независимо друг от друга отметили возобновление активности ботнета Emotet, который никак не проявлял себя на протяжении последних нескольких месяцев. Сейчас он вернулся, и снова рассылает спам с вредоносными вложениями разного толка.

Emotet изначально был известен как банковский троянец, крадущий реквизиты доступа к банковским аккаунтам. Теперь же Emotet отчетливо превратился в платформу для дистрибуции других вредоносов.

Разрешите вас заразить

Уже сейчас ботнет рассылает сразу несколько разновидностей вредоносного ПО. Кроме того, он обзавелся рядом новых шаблонов документов Word, используемых для социальной инженерии. С их помощью злоумышленники пытаются заставить потенциальных жертв активировать макросы в Word и таким образом открыть возможность для заражения.

Среди таких шаблонов — документ, который предлагает «принять лицензионное соглашение», для чего надо разрешить редактирование и активировать функцию «Включить содержимое» («Enable Content»). Естественно, никакие «лицензионные соглашения» не могут подразумевать отключения защитных мер в документе.

Ботнет Emotet снова активировался

Еще один шаблон указывает, что доступ к документу возможен только если снять режим «защищенного просмотра», а для этого опять-таки потребуется разрешить редактирование и включить активное содержимое.

Если жертва поддается на эту ловушку, сразу после активации макросов на компьютер устанавливается троянец.

Помимо самих документов во вложении спам-письма Emotet иногда включают ссылки, с которых предлагается загрузить «документы». Это, видимо, делается для того, чтобы обойти спам-фильтры, блокирующие вложения.

Modus operandi

При установке Emotet как правило использует PowerShell, однако некоторые разновидности используют Windows Script Host (Wscript.exe), чтобы с помощью скриптов Jsсript установить вредоносную программу. И то и другое происходит только в том случае, если жертва активирует макросы.

Тем не менее, в качестве защитной меры можно заблокировать использование в локальной системе Wscript — для этого в системном реестре предлагается выставить значение Enabled 0 в ключе Hkey_Local_Machine\Software\Microsoft\Windows Script Host\Settings.

Три эпохи, и четвертая надвигается

По всей видимости, Emotet на данный момент — это не единый ботнет, а три разных, каждый — со своей отдельной инфраструктурой. По-видимому, на подходе еще и четвертый.

Каждая из этих сетей (которые эксперты группы Cryptolaemus назвали «эпохами») использует свои собственные командные серверы и даже разные RSA-ключи. Ботнет Epoch 1 на данный момент — крупнее и, по-видимому, является основным источником спама. В любом случае, контролируют все эти ботнеты одни и те же люди.

«Фрагментация ботнета может иметь сугубо утилитарные причины: разные его сегменты, вероятно, используются для разных целей, возможно, для атак на разные группы пользователей, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — В конечном счете, размножение ботнетов, в основе которых один и тот же вредоносный код, — явление весьма распространtнное. Группировка, стоящая за Emotet, вполне могла предоставить исходники кому-то из своих “коллег по цеху” для дальнейшего расширения функциональности. Для конечных пользователей это означает лишь увеличение угрозы».

Роман Георгиев

Короткая ссылка