Вредоносная программа Emotet вернулась

Вредоносная программа Emotet считалась самой распространенной в прошлом, для ее распространения использовались спам-кампании и вредоносные вложения.

Затем Emotet использовал зараженные устройства для проведения других спам-кампаний и установки других вредоносных программ, таких как QakBot (Qbot) и Trickbot. Эти полезные нагрузки затем использовались для предоставления первоначального доступа субъектам угроз для распространения программ-выкупов, включая Ryuk, Conti, ProLock, Egregor и многие другие.

В начале года международная правоохранительная акция, координируемая Европолом и Евроюстом, захватила инфраструктуру Emotet и арестовала двух человек.

Emotet возвращается

Сегодня исследователи из Cryptolaemus, GData и Advanced Intel начали замечать, что вредоносная программа TrickBot сбрасывает загрузчик для Emotet на зараженные устройства.

Если раньше Emotet устанавливал TrickBot, то теперь субъекты угрозы используют метод, получивший название "Операция Reacharound", чтобы восстановить ботнет Emotet, используя существующую инфраструктуру TrickBot.

Эксперт по Emotet и исследователь Cryptolaemus Джозеф Роозен сообщил BleepingComputer, что они не видели никаких признаков того, что ботнет Emotet осуществляет спамерскую деятельность или обнаружил какие-либо вредоносные документы, сбрасывающие вредоносное ПО.

Отсутствие спамерской активности, вероятно, связано с восстановлением инфраструктуры Emotet с нуля и похищением новых электронных писем с цепочками ответов у жертв для будущих спам-кампаний.

"Пока мы можем точно подтвердить, что буфер команд изменился. Теперь там 7 команд вместо 3-4. Похоже, это различные варианты выполнения загруженных двоичных файлов (поскольку это не просто dll)", - сообщили BleepingComputer исследователи Cryptolaemus.

Виталий Кремез из Advanced Intel также проанализировал новый дроппер Emotet и предупредил, что возрождение ботнета вредоносных программ, скорее всего, приведет к всплеску заражений вымогательским ПО.