بازگشت Emotet از طریق مکالمات ربوده شده ایمیل
پس از تعطیلات 4 ماهه، اپراتورهای ایموتت (Emotet) در حال فعالیت مجدد بوده و از یک تکنیک فیشینگ هدفدار که اخیراً معرفی شده است، برای ارایه بدافزار خود استفاده میکنند: یعنی ربودن مکالمات ایمیلهای قانونی.
ایموتت به عنوان یک تروجان بانکی نیز ظاهر شده است، اما به ربودن انواع دیگر اطلاعات حساس و بارگذاری آنها برای سایر خانوادههای مخرب مانند باج افزار تروجان TrickBot و Ryuk نیز میپردازد.
امسال، از اوایل ماه ژوئن، ایموتت از حالت تهدید خارج شده است، اما فعالیتهایی را از 16 سپتامبر آغاز کرده که چندین سازمان امنیتی، گزارشهایی را مبنی بر آن ارایه دادهاند.
به نظر میرسد که این کمپین جدید گسترده بوده، و نه تنها کاربران را در سرتاسر اروپا، بلکه حتی کاربرانی را که در ایالات متحده مستقر هستند، هدف قرار داده است. در این بین، صدها هزار پیام به عنوان بخشی از این اقدام، ارسال شده است.
یکی از بارزترین ویژگیهای کمپین جدید، استفاده مجدد از محتوای ایمیل ربوده شده برای فریب دادن گیرندگان به منظور باز کردن اسناد Word پیوست شده یا متصل به Word بوده که شامل دستورات مخرب برای ربایش و اجرای ایموتت هستند.
سیسکو تالوس (Cisco Talos) طی یادداشتی عنوان کرد: “زمانی که ایمیلهای یک قربانی جابجا میشود، ایموتت برای ارسال پاسخ به برخی از ایمیلهای خوانده نشده آن قربانی، به نقل از بقایای پیامهای واقعی در موضوعات، پیامهای حمله جدیدی را ایجاد میکند.”
علاوه بر این، ایموتت برای ارسال ایمیل، مدارک معتبر قربانیان را ربوده و همچنین این اطلاعات را برای سایر رباتهای شبکه خود منتشر میکند، تا از آنها برای ارسال پیامهای حمله ایموتت استفاده کنند.
مدیر ارشد تحقیق و شناسایی تهدیدات در Proofpoint، در بیانیهای اعلام کرد: “اگرچه ما اغلب شاهد این هستیم كه عاملان مخرب در مورد تجهیز مجدد، تغییر در ظرفیت و حتی گذران تعطیلات تصمیم میگیرند، اما این وقفه معمولاً طولانی نیست، مخصوصاً برای بدافزارهایی كه دارای چشم انداز تهدید بسیار شاخصی بودهاند. اخیراً نیز اعمال ترافیک را در زیرساختهای فرماندهی و کنترل مشاهده کردیم و انتظار داشتیم که به زودی فعالیتهای آنها از سر گرفته شود.”