Dostajesz więcej spamu? Botnet Emotet wrócił, ma e‑maile, loginy i hasła

Dostajesz ostatnio więcej spamu z adresów e-mail, które znasz? To zapewne część ataku trojanem Emotet i aktywności związanego z nim botnetu. Emotet wrócił po czterech miesiącach nieaktywności i jest coraz bardziej niebezpieczny.

Botnet Emotet jest groźniejszy niż kiedykolwiek
Botnet Emotet jest groźniejszy niż kiedykolwiek

21.09.2019 15:07

Botnet Emotet jest uważany za najbardziej destrukcyjny w historii. Ataki Trojana narażają ofiary na ogromne koszty, sięgające miliona dolarów.

Emotet ma adresy e-mail i hasła

Kampania rozprowadzająca trojana Emotet jest bardzo interesująca. E-maile są wysyłane ze znanych ofiarom adresów i często cytują faktycznie wysłane kiedyś wiadomości. To możliwe, ponieważ trojan na zainfekowanym komputerze skanuje książkę adresową i historię korespondencji. Dzięki temu botnet może wysłać do uczestników rozmowy bardzo dobrze zakamuflowane szkodliwe e-maile. Wiadomości są w stanie oszukiwać zarówno ludzi, jak i wiele filtrów antyspamowych.

Przykładowy e-mail. Komputer Lisy został zainfekowany i rozsyła szkodliwy załącznik do uczestników rozmowy (Talos Group)
Przykładowy e-mail. Komputer Lisy został zainfekowany i rozsyła szkodliwy załącznik do uczestników rozmowy (Talos Group)

W załączniku znajduje się spreparowany dokument, który umożliwia infekcję systemu trojanem Emotet, a dalej komunikację z botnetem. Odbywa się to pod przykrywką komunikatu o zmianie licencji oprogramowania Microsoftu. Botnet już wykorzystywał ten rodzaj kamuflażu, ale nowa kampania wykorzystuje tę strategię sporo częściej. Około 25 proc. wszystkim e-maili wysyłanych przez Emotet ma taką konstrukcję.

Powiadomienie o zmianie licencji po otwarciu szkodliwego pliku – tak naprawdę uruchamia makro (Malwarebytes)
Powiadomienie o zmianie licencji po otwarciu szkodliwego pliku – tak naprawdę uruchamia makro (Malwarebytes)

By ułatwić sobie zadanie, Emotet gromadzi też adresy e-mail, loginy i hasła do skrzynek. Te dane są przekazywane do systemów zainfekowanych trojanem, kontrolowanym przez botnet Emotet. To znacznie ułatwia wysyłanie szkodliwych wiadomości. Malwarebytes zaobserwował także e-maile w języku polskim.

Specjaliści z grupy Cisco Talos twierdzą, że Emotet ma bazę ponad 200 tys. loginów i haseł. Zbierał je przez 10 miesięcy. Średni czas życia pary to 6,91 dnia, przy czym 75 proc. działało krócej niż jeden dzień. Użytkownicy musieli szybko się orientować i zmieniać hasła.

Jak się bronić?

Emotet jest zagrożeniem znanym. Zaczynał jako dystrybutor trojana bankowego, mający na celu okradanie ofiar. Z czasem się rozwinął w ogromny botnet do wynajęcia. Za jego pośrednictwem rozprowadzane są też inne szkodliwe programy jak trojan TrickBot czy ransomware Ryuk. To wyjątkowo złośliwe zagrożenia, które zaszywają się w zainfekowanej sieci, by dokonać jak największych zniszczeń.

Trojan Emotet i zagrożenia, które rozprowadza, rozpoznają popularne programy antywirusowe. Najlepszą obroną jest podejrzliwość. Jeśli nie jesteś pewny, czy dostałeś prawdziwy e-mail, zapytaj nadawcę innym kanałem. Pomoże też dwustopniowa autoryzacja przy logowaniu do skrzynki pocztowej.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (44)