Спецпроекты

Почивший банковский ботнет ожил и стал дистрибутором сторонних вредоносов

ПО Безопасность Бизнес ИТ в банках

Использовавшийся преимущественно для распространения банковского троянца ботнет Emotet, по-видимому, теперь стал платформой для распространения сторонних вредоносов. По некоторым сведениям, его владельцы теперь также разделили единый ботнет на три или четыре сегмента, причем у каждого — своя инфраструктура.

Иногда они возвращаются к жизни

Несколько экспертов по безопасности независимо друг от друга отметили возобновление активности ботнета Emotet, который никак не проявлял себя на протяжении последних нескольких месяцев. Сейчас он вернулся, и снова рассылает спам с вредоносными вложениями разного толка.

Emotet изначально был известен как банковский троянец, крадущий реквизиты доступа к банковским аккаунтам. Теперь же Emotet отчетливо превратился в платформу для дистрибуции других вредоносов.

Разрешите вас заразить

Уже сейчас ботнет рассылает сразу несколько разновидностей вредоносного ПО. Кроме того, он обзавелся рядом новых шаблонов документов Word, используемых для социальной инженерии. С их помощью злоумышленники пытаются заставить потенциальных жертв активировать макросы в Word и таким образом открыть возможность для заражения.

Среди таких шаблонов — документ, который предлагает «принять лицензионное соглашение», для чего надо разрешить редактирование и активировать функцию «Включить содержимое» («Enable Content»). Естественно, никакие «лицензионные соглашения» не могут подразумевать отключения защитных мер в документе.

Ботнет Emotet снова активировался

Еще один шаблон указывает, что доступ к документу возможен только если снять режим «защищенного просмотра», а для этого опять-таки потребуется разрешить редактирование и включить активное содержимое.

Если жертва поддается на эту ловушку, сразу после активации макросов на компьютер устанавливается троянец.

Помимо самих документов во вложении спам-письма Emotet иногда включают ссылки, с которых предлагается загрузить «документы». Это, видимо, делается для того, чтобы обойти спам-фильтры, блокирующие вложения.

Modus operandi

При установке Emotet как правило использует PowerShell, однако некоторые разновидности используют Windows Script Host (Wscript.exe), чтобы с помощью скриптов Jsсript установить вредоносную программу. И то и другое происходит только в том случае, если жертва активирует макросы.

Тем не менее, в качестве защитной меры можно заблокировать использование в локальной системе Wscript — для этого в системном реестре предлагается выставить значение Enabled 0 в ключе Hkey_Local_Machine\Software\Microsoft\Windows Script Host\Settings.

Три эпохи, и четвертая надвигается

По всей видимости, Emotet на данный момент — это не единый ботнет, а три разных, каждый — со своей отдельной инфраструктурой. По-видимому, на подходе еще и четвертый.

Каждая из этих сетей (которые эксперты группы Cryptolaemus назвали «эпохами») использует свои собственные командные серверы и даже разные RSA-ключи. Ботнет Epoch 1 на данный момент — крупнее и, по-видимому, является основным источником спама. В любом случае, контролируют все эти ботнеты одни и те же люди.

«Фрагментация ботнета может иметь сугубо утилитарные причины: разные его сегменты, вероятно, используются для разных целей, возможно, для атак на разные группы пользователей, — считает Алексей Водясов, эксперт по информационной безопасности компании SEC Consult Services. — В конечном счете, размножение ботнетов, в основе которых один и тот же вредоносный код, — явление весьма распространtнное. Группировка, стоящая за Emotet, вполне могла предоставить исходники кому-то из своих “коллег по цеху” для дальнейшего расширения функциональности. Для конечных пользователей это означает лишь увеличение угрозы».



Стратегия месяца

Кто будет управлять облачной частью бизнеса?

Неудивительно, что популярность гибридной модели стремительно растет.

Тема месяца

Обзор: Телеком 2019

Крупнейшие телекоммуникационные компании и крупнейшие поставщики ИТ в телеком