Strážca sabotuje botnet Emotet nahradením obsahu škodlivého softvéru súbormi GIF

Neznámy bdelý hacker sabotoval operácie nedávno obnovený botnet Emotet nahradením užitočného obsahu Emotet animovanými GIF, čím účinne bráni obetiam, aby sa nakazili.

Sabotáž, ktorá sa začala pred tromi dňami, 21. júla, prerástla z jednoduchého vtipu na vážny problém ovplyvňujúci veľkú časť operácie Emotet.

Podľa Cryptolaema, skupina výskumníkov v oblasti bezpečnosti, ktorí sledujú botnet Emotet, vigilante teraz otrávi približne štvrtinu všetkých stiahnutí užitočných dát Emotet.

Čo sa vlastne deje -- zjednodušená verzia

Emotet je komplexný a viaczložkový stroj. Aby čitatelia pochopili, čo sa tu skutočne deje, je potrebný rýchly úvod do vnútornej štruktúry a distribučného mechanizmu Emotet.

Botnet funguje tak, že spamuje ciele pomocou e-mailov, ktoré sa dopúšťajú obchodnej komunikácie. Tieto e-maily obsahujú buď škodlivý dokument balíka Office, alebo odkaz na škodlivý súbor balíka Office, ktorý majú používatelia stiahnuť do svojich počítačov.

Keď používatelia otvoria jeden z týchto súborov a stlačia odkazy v súbore alebo povolia funkciu „Povoliť úpravy“ na povolenie makier (automatické skripty) na spustenie, automatické skripty stiahnu malvér Emotet a rôzne jeho súčasti z internet.

Pod „internetom“ v skutočnosti myslíme „hacknuté stránky WordPress“, kde gang Emotet dočasne ukladá komponenty svojho malvéru (alebo „úžitkové zaťaženie“ v žargóne infosec).

Tieto dočasné miesta hosťovania sú tiež Achillovou pätou Emotet.

Gang Emotet kontroluje tieto napadnuté stránky prostredníctvom webových shellov – typu malvér nainštalované na napadnutých serveroch, aby umožnili votrelcom manipulovať so serverom.

Ale gang Emotet nepoužíva najlepšie webové škrupiny dostupné na trhu. Ako bolo zdôraznené minulý rok, gang Emotet používa open-source skripty a tiež používa rovnaké heslo pre všetky svoje webové shelly, vystavuje svoju infraštruktúru ľahkému napadnutiu, ak niekto dokáže uhádnuť heslo.

Metóda distribúcie užitočného zaťaženia Emotet je mimoriadne nezabezpečená, nasadzujú open source webshell z Github do Stránky Wordpress, ktoré hacknú, všetky s rovnakým heslom, takže ktokoľvek môže zmeniť užitočné zaťaženie infikovaných počítačov prijímanie.

— Kevin Beaumont (@GossiTheDog) 27. decembra 2019

Sabotáž Emotet

Emotet, považovaný za najnebezpečnejší malvérový kmeň/botnet súčasnosti, bol nedávno na viac ako päť mesiacov ticho minulý týždeň sa vrátil k životu.

Od utorka sa zdá, že neznámy strážca objavil toto bežné heslo a zneužíva tento slabý botnet na sabotovanie Emotetovho návratu.

Neznámy votrelec nahrádza užitočné zaťaženia Emotet na niektorých napadnutých stránkach WordPress animovanými súbormi GIF – čo znamená, že keď Obete Emotet otvoria škodlivé súbory balíka Office, nenakazia sa, pretože malvér Emotet sa nestiahne a nespustí na ich systémov.

Počas posledných troch dní votrelec nahradil užitočné zaťaženie Emotet viacerými populárnymi GIF.

Prvý, spozorovaný v utorok, je tento Blink 182 "WTF" GIF.

#Emotet の跡地でこのおじさんに遭遇する機会が増えました。 pic.twitter.com/pozYFpPoiv

– tike (@tiketiketikeke) 22. júla 2020

Na druhý deň útočníci prešli na používanie a James Franco GIF.

Zdá sa, že niekto nahrádza užitočné zaťaženie Emotet týmto GIFom Jamesa Franca https://t.co/YCCSFwfTZbpic.twitter.com/oSPGka9l6g

— Kevin Beaumont (@GossiTheDog) 22. júla 2020

Potom sme mali Hackerman GIF.

国内の #Emotet 設置サイトの傾向に変化はありません。
choiphui[.]com
133.130.109.0
(PTR: v133-130-109-0[.]a038[.]g[.]tyo1[.]statický[.]cnode[.]io.)
linhgiangcorp[.]com
133.130.97.61
(PTR: v133-130-97-61[.]a026[.]g[.]tyo1[.]statický[.]cnode[.io.)
HACKERMAN のgifに置き換わっています。 pic.twitter.com/efxnbfaGfc

– tike (@tiketiketikeke) 24. júla 2020

GIFy sú zvyčajne prevzaté buď z Imgur alebo Giphy, dvoch služieb hostenia GIF náhodne.

Defacementy ovplyvňujú aktivitu Emotet

Súčasné znehodnocovanie začalo pomaly, ale v súčasnosti sa približne štvrtina všetkých denných prepojení prenášaných dát Emotet nahrádza GIF, čo spôsobuje vážne prevádzkové straty gangu Emotet.

Podľa člena Cryptolaemus Josepha Roosena je gang Emotet viac ako vedomý tohto problému. Vo včerajšom rozhovore Roosen pre ZDNet povedal, že botnet Emotet bol vo štvrtok mimo prevádzky, pretože gang Emotet sa zjavne pokúsil vykoreniť útočníka z ich siete webových shellov.

Napriek úsiliu Emotet Roosen povedal, že dnes je vigilante stále prítomný a nahradzuje užitočné zaťaženie Emotet Súbory GIF, aj keď gang Emotet bol rýchlejší ako predtým, keď našiel „náhradu“ a obnovil originál užitočné zaťaženie.

Celkovo sa zdá, že znehodnotenia spôsobili, že aktivita Emotet tento týždeň vážne klesla.

„Keďže Ivan [admin Emotet] mal dnes technické problémy, haše sú veľmi nízke a takmer nič sme nevideli,“ napísal Roosen v denná aktualizácia Emotet.

Bezpečnostný výskumník odhaduje, že Emotet teraz pracuje na približne štvrtinu normálneho stavu schopnosti, pretože Ivan a zvyšok posádky Emotet stále zápasia o kontrolu nad svojou sieťou škrupiny.

V súčasnosti nie je totožnosť strážcu známa. Na základe rôznych teórií vyjadrených online, medzi primárnych podozrivých patrí buď konkurenčný malvérový gang alebo člen odvetvia kybernetickej bezpečnosti.