CERTMIL

Centrul de Răspuns la Incidente de Securitate Cibernetică

Emotet în 2022

Emotet este, de departe, unul dintre cei mai puternici troieni creați vreodată. Malware-ul a devenit foarte distructiv pe măsură ce a crescut în amploare și a devenit tot mai sofisticat. Victima poate fi oricine, de la utilizatori din corporații la utilizatori privați.

Botnet-ul se distribuie prin phishing ce conțin documente Excel sau Word malițioase. Atunci când utilizatorii deschid aceste documente și activează macro-urile, DLL-ul Emotet este încărcat în memorie.

Acesta caută adrese de e-mail și le folosește în campaniile de spam sau phishing. În plus, botnet-ul descarcă payload-uri suplimentare, cum ar fi Cobalt Strike sau alte atacuri care duc la ransomware.

Natura polimorfă a lui Emotet, împreună cu numeroasele module pe care le include, face ca malware-ul să fie dificil de identificat. Echipa Emotet își schimbă în mod constant tacticile, tehnicile și procedurile pentru a se asigura că regulile de detectare existente nu pot fi aplicate.

Malware-ul este aproape imposibil de eliminat, se răspândește rapid și se adaptează în funcție de nevoile atacatorilor.

Evoluția Emotet de-a lungul anilor

Malware-ul a început ca un simplu troian bancar în 2014. Dar, de atunci, a dobândit o mulțime de caracteristici, module și campanii diferite:

– 2014. Capacități de transfer de bani, spam prin e-mail, DDoS și colectare de liste de contacte;

– 2015. Funcționalitate de evaziune;

– 2016. Spam prin e-mail, kit de exploatare RIG 4.0, livrarea altor troieni;

– 2017. Un modul de răspândire și un modul de colectare al listei de contacte;

– 2021. Șabloane XLS malițioase;

– 2022. Majoritatea caracteristicilor au rămas aceleași, dar anul acesta a adus și câteva actualizări.

Caracteristici noi pentru Emotet 2022

-Descarcă IcedID, un troian bancar modular;

-Încarcă XMRig, un miner care preia datele din portofele;

-Troianul are modificări binare;

-O nouă versiune utilizează noi comenzi:

Apeleaza rundll32.exe cu un DLL numit aleatoriu și exportul PluginInit.

– Scopul Emotet este de a obține credențiale din Google Chrome și alte browsere;

– De asemenea, acesta urmărește să se folosească de protocolul SMB pentru a colecta date despre companii;

– Botnetul folosește instrumente XLS malițioase, dar într-o variantă nouă:

POZA

Cum poate fi detectat Emotet?

Principala provocare în cazul Emotet este de a-l detecta rapid și precis. Un analist malware ar trebui să înțeleagă comportamentul botnetului pentru a preveni viitoarele atacuri și a evita posibilele pierderi.

În 2018, a fost posibilă detectarea acestuia după identificarea unuia dintre procesele următoare:

eventswrap, implrandom, turnedavatar, soundser, archivesymbol, wabmetagen, msrasteps, secmsi, crsdcard, narrowpurchase, smxsel, watchvsgd, mfidlisvc, searchatsd, lpiograd, noticesman, appxmware, sansidaho

În primul trimestru al anului 2020, Emotet a început să creeze o cheie specifică în registru – scrie în cheia HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER valoarea cu lungimea de 8 simboluri (litere și caractere).

Un alt mod de a detecta acest malware a fost reprezentat de documentele sale malițioase – atacatorii folosesc unele specifice, majoritatea având erori gramaticale.

Una dintre cele mai fiabile modalități de a detecta Emotet este prin intermediul regulilor YARA sau Suricata. De asemenea se recomandă utilizarea unui sandbox malware.

Există unele caracteristici pe care le puteți utiliza doar pentru analiza Emotet:

– dezvăluirea legăturilor C2 ale unui eșantion malițios cu FakeNet

– utilizarea seturilor de reguli Suricata și YARA pentru a identifica botnetul

– obținerea datelor despre serverele C2, chei și șiruri de caractere extrase din dump-ul de memorie al eșantionului

– colectarea de IOC-uri proaspete ale malware-ului

Sursa: https://thehackernews.com/2022/11/all-you-need-to-know-about-emotet-in.html

Autor

© Ministerul Apărării Naţionale | Site realizat de Agenția de Apărare Cibernetică