Emotet în 2022
Emotet este, de departe, unul dintre cei mai puternici troieni creați vreodată. Malware-ul a devenit foarte distructiv pe măsură ce a crescut în amploare și a devenit tot mai sofisticat. Victima poate fi oricine, de la utilizatori din corporații la utilizatori privați.
Botnet-ul se distribuie prin phishing ce conțin documente Excel sau Word malițioase. Atunci când utilizatorii deschid aceste documente și activează macro-urile, DLL-ul Emotet este încărcat în memorie.
Acesta caută adrese de e-mail și le folosește în campaniile de spam sau phishing. În plus, botnet-ul descarcă payload-uri suplimentare, cum ar fi Cobalt Strike sau alte atacuri care duc la ransomware.
Natura polimorfă a lui Emotet, împreună cu numeroasele module pe care le include, face ca malware-ul să fie dificil de identificat. Echipa Emotet își schimbă în mod constant tacticile, tehnicile și procedurile pentru a se asigura că regulile de detectare existente nu pot fi aplicate.
Malware-ul este aproape imposibil de eliminat, se răspândește rapid și se adaptează în funcție de nevoile atacatorilor.
Evoluția Emotet de-a lungul anilor
Malware-ul a început ca un simplu troian bancar în 2014. Dar, de atunci, a dobândit o mulțime de caracteristici, module și campanii diferite:
– 2014. Capacități de transfer de bani, spam prin e-mail, DDoS și colectare de liste de contacte;
– 2015. Funcționalitate de evaziune;
– 2016. Spam prin e-mail, kit de exploatare RIG 4.0, livrarea altor troieni;
– 2017. Un modul de răspândire și un modul de colectare al listei de contacte;
– 2021. Șabloane XLS malițioase;
– 2022. Majoritatea caracteristicilor au rămas aceleași, dar anul acesta a adus și câteva actualizări.
Caracteristici noi pentru Emotet 2022
-Descarcă IcedID, un troian bancar modular;
-Încarcă XMRig, un miner care preia datele din portofele;
-Troianul are modificări binare;
-O nouă versiune utilizează noi comenzi:
Apeleaza rundll32.exe cu un DLL numit aleatoriu și exportul PluginInit.
– Scopul Emotet este de a obține credențiale din Google Chrome și alte browsere;
– De asemenea, acesta urmărește să se folosească de protocolul SMB pentru a colecta date despre companii;
– Botnetul folosește instrumente XLS malițioase, dar într-o variantă nouă:
POZA
Cum poate fi detectat Emotet?
Principala provocare în cazul Emotet este de a-l detecta rapid și precis. Un analist malware ar trebui să înțeleagă comportamentul botnetului pentru a preveni viitoarele atacuri și a evita posibilele pierderi.
În 2018, a fost posibilă detectarea acestuia după identificarea unuia dintre procesele următoare:
eventswrap, implrandom, turnedavatar, soundser, archivesymbol, wabmetagen, msrasteps, secmsi, crsdcard, narrowpurchase, smxsel, watchvsgd, mfidlisvc, searchatsd, lpiograd, noticesman, appxmware, sansidaho
În primul trimestru al anului 2020, Emotet a început să creeze o cheie specifică în registru – scrie în cheia HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER valoarea cu lungimea de 8 simboluri (litere și caractere).
Un alt mod de a detecta acest malware a fost reprezentat de documentele sale malițioase – atacatorii folosesc unele specifice, majoritatea având erori gramaticale.
Una dintre cele mai fiabile modalități de a detecta Emotet este prin intermediul regulilor YARA sau Suricata. De asemenea se recomandă utilizarea unui sandbox malware.
Există unele caracteristici pe care le puteți utiliza doar pentru analiza Emotet:
– dezvăluirea legăturilor C2 ale unui eșantion malițios cu FakeNet
– utilizarea seturilor de reguli Suricata și YARA pentru a identifica botnetul
– obținerea datelor despre serverele C2, chei și șiruri de caractere extrase din dump-ul de memorie al eșantionului
– colectarea de IOC-uri proaspete ale malware-ului
Sursa: https://thehackernews.com/2022/11/all-you-need-to-know-about-emotet-in.html
