После трехмесячного перерыва во вторник утром вредоносная программа Emotet возобновила рассылку опасных электронных писем, восстановив свою инфраструктуру и зараженные устройства по всему миру. Вложения электронной почты, содержащие зараженные версии Microsoft Word и Excel, являются основным вектором распространения печально известного вредоносного ПО Emotet. Библиотека Emotet DLL будет загружена в память, когда пользователь откроет один из этих документов с включенными макросами.
Когда Emotet установлен, он будет терпеливо ждать дальнейших указаний от своего командного сервера. К сожалению, оно вернулось.
Вредоносное ПО Emotet 2023
Согласно предупреждениям фирмы по кибербезопасности, ботнет Emotet возобновил отправку электронных писем. Кофейня и организация по отслеживанию Emotet Cryptolaemus.
Эмотет пробуждается По состоянию на 12:00 UTC Иван наконец получил E4 для рассылки спама. Мы видим очень большие шаблоны Red Dawn размером более 500 МБ. В настоящее время наблюдается приличный поток спама. Септет полезных URL-адресов и уродливых макросов. Образец: https://t.co/fWZ8n3PlFi 1/3 pic.twitter.com/r5uuiECWnp
— Криптолемус (@Cryptolaemus1) 7 марта 2023 г.
Согласно подтверждению от Cofense BleepingКомпьютерспам-кампания началась в 7:00 утра по восточному времени, и на данный момент объемы рассылки относительно невелики.
«Первое электронное письмо, которое мы увидели, было около 7 утра по восточному поясному времени. В настоящее время объем остается низким, поскольку они продолжают восстанавливать и собирать новые учетные данные для использования и целевых адресных книг».
-Кофе
Как выглядит вредоносное ПО Emotet?
Ниже приведен пример того, как злоумышленники меняют тактику предыдущей кампании, отправляя электронные письма, которые выглядят как счета-фактуры, а не цепочки ответов.
Когда вы открываете одно из этих писем, вы обычно найдете ZIP-файл, содержащий документы Word размером более 500 МБ. Включая ненужные данные, они увеличивают размер файла и затрудняют обнаружение антивирусным программным обеспечением.
Для подготовки этих файлов .docx использовался шаблон «Красный рассвет» от Emotet, и читатели должны активировать контент перед их просмотром. Мы рекомендуем вам сделать не нажимать в теме.
Вы знаете, что взлом Acer подтвержден? Хакеры выставили на продажу 160 ГБ корпоративных данных!
Майкрософт спасает положение
После недавних изменений, внесенных Microsoft, данный метод может оказаться не очень успешным, поскольку Emotet перестраивает свою сеть.
С июля 2022 г. загруженные из Интернета документы Office больше не содержат макросы по умолчанию.
Теперь пользователей будет приветствовать предупреждение, объясняющее, что макросы отключены, поскольку происхождение файла невозможно проверить при открытии документа Emotet.
Благодаря этой функции люди, получающие электронные письма Emotet, с меньшей вероятностью случайно активируют макросы, если они не предпримут для этого активных действий.
Source: Вредоносное ПО Emotet возвращается, следите за своей электронной почтой