Globálni hráči varujú pred novou vlnou známeho malvéru Emotet

Malvér sa na scénu vrátil po polročnej prestávke - ktorá mu zjavne prospela.
Globálni hráči varujú pred novou vlnou známeho malvéru Emotet

Francúzsko, Japonsko a Nový Zéland v priebehu septembra zaznamenali zintenzívnené útoky známeho malvéru Emotet, ktorý je aktívny najmä skrz phishingové kampane a cieli na vybrané spoločnosti a vládne agentúry.

V prípade všetkých troch krajín mala kampaň viaceré spoločné prvky – prostredníctvom emailových príloh šlo buď o šírenie dokumentov .doc, alebo zaheslovaných ZIP súborov. Špecifickým znakom Emotetu je schopnosť rozosielať spam v odlišných prekladoch, preto nenarazil ani ja jazykovú bariéru.

„E-maily obsahujú škodlivé prílohy alebo odkazy, ktoré si má prijímateľ stiahnuť,“ uviedol novozélandský CERT. „Tieto odkazy a prílohy môžu vyzerať ako originálne faktúry, finančné dokumenty, informácie o preprave, životopisy, naskenované dokumenty alebo informácie o COVID-19, ale sú falošné.“

Na Japonsko, ktoré má s touto hrozbou skúsenosti už z predchádzajúcich mesiacov, boli zamerané všetky tri infikované siete (E1, E2 a E3). Keďže sa v posledných dvoch týždňoch pozorovaná aktivita malvéru strojnásobila, krajina pred ním vydala aj oficiálnu výstrahu.

Najslabšiu vlnu útoku zaznamenalo Francúzsko, dopady však neboli úplne zanedbateľné – malware v tomto prípade nakazil sieť parížskeho súdnictva. Incidenty doviedli ministerstvo vnútra k zablokovaniu prijímania akýchkoľvek Office dokumentov skrz email.

Záškodník v novom šate

Emotet, ktorý je v povedomí už od roku 2014, funguje na prevádzkovom modeli s názvom „infraštruktúra ako služba“ (IaaS). Týmto spôsobom sprostredkúva iným malvérom prístup do zraniteľných zariadení.

Z  jednoduchého bankového trójskeho sa v priebehu niekoľkých rokov vyvinul do modelu tzv. „švajčiarskeho noža“. Môže tak slúžiť aj ako sťahovač, zlodej informácií či spambot.

Poslednou veľkou obmenou si Emotet prešiel v prvej polovici tohto roka. Výskumníkom z Binary Defense sa v jeho architektúre totiž podarilo objaviť dieru, vďaka ktorej do na pol roka vypli – až kým jeho autori v auguste chybu neopravili a malvér tak chytil druhý dych.

Podľa správy Proofpoint vynovený Emotet do napadnutých zariadení inštaluje bankového trojana Qbot a zároveň aj zadné vrátka pre svoje dlhodobejšie pôsobenie. Okrem infikovaných príloh začali autori do emailov pripájať aj neškodné dokumenty. V neposlednom rade boli spamové emaily preložené do viacerých jazykov.


Jana Tuhrinová, Kristína Urbanová