Emotet to jedno z najdłużej działających profesjonalnych narzędzi wykorzystywanych przez cyberprzestępców w ostatnich latach. Po raz pierwszy zostało ono odkryte w 2014 roku jako koń trojański atakujący bankowość internetową, a następnie ewoluowało i aktualnie działa na zasadzie klucza otwierającego infekcjom dostęp do komputera.

Rozprzestrzenianie się poprzez dokumenty Worda

Złośliwe oprogramowanie zazwyczaj przedostaje się na komputery ofiar za pośrednictwem zainfekowanych wiadomości e-mail w formacie Word. Przestępcy wciąż wysyłają ofiarom nowe wiadomości, by uruchomiły one aktywne elementy dokumentu (z reguły makra). Ścieżka infekcji prowadzi zawsze przez użytkownika. W przeciwieństwie do innych typów złośliwego oprogramowania Emotet nie przenosi się poprzez exploit kits bądź przeglądarkę. Za każdym razem przestępcy szukają nowych powodów, dla których użytkownik powinien kliknąć w przycisk „uruchom aktywną zawartość”. Twierdzą na przykład, że dany dokument został stworzony „przy pomocy internetowej wersji pakietu Office” bądź powołują się na rzekome problemy ze zgodnością.

Do czego jest zdolny Emotet?

Emotet posiada bardzo złożone funkcje szpiegowskie. Przestępcy otrzymują informacje na temat wszystkich procesów zachodzących w komputerze, co umożliwia im wyciągnięcie wniosku o tym, do jakich celów wykorzystywane jest dane urządzenie.

Emotet składa się z kilku modułów z możliwością zdalnej aktywacji. Należy jednak zwrócić uwagę na fakt, iż nie wszystkie ze wspomnianych poniżej funkcji wykonywane są za każdym razem na zainfekowanym komputerze. To serwer C&C decyduje, jakie moduły zostają aktywowane.

Kradzież haseł

Za pośrednictwem oprogramowania Nirsoft Emotet można skopiować hasła do kont e-mail zapisane w Outlooku lub Thunderbirdzie bądź jakiekolwiek inne hasła zachowane w przeglądarce. Większy poziom bezpieczeństwa zapewnia w tym przypadku korzystanie z funkcji managera haseł.

Kolejny z modułów oprogramowania Emotet wykorzystywany jest do rozsyłania spamu. Autorzy złośliwego oprogramowania nie rozsyłają klasycznych wiadomości ze spamem, na przykład dotyczących leków bądź suplementów na potencję, ale wykorzystują zasoby ofiar do prowadzenia swoich własnych kampanii. Emotet to innowacyjne rozwiązanie do dostarczania wspomnianych wiadomości.

Przestępcy posiadają dostęp do informacji w książkach adresowych oraz są w stanie odtworzyć sieci zależności i mogą dostarczać tego typu wiadomości w sposób spersonalizowany. W tym celu Emotet opiera się na interfejsie MAPI (Messaging Application Programming Interface).

Funkcje te zostają załadowane jako moduł w ramach tego samego procesu, co sam Emotet i zostają wykonane bez zapisywania pliku na dysku. W ten sposób trudniej jest je wykryć. Można stwierdzić, że Emotet opiera się w różnych modułach na koncepcji złośliwego oprogramowania działającego bez wykorzystania plików. Po wykonaniu zadania kod jest usuwany z pamięci i tym samym nie ma możliwości przeprowadzenia kontroli.

Emotet zawiera także komponent działający podobnie do “robaka”. Pozwala on złośliwemu oprogramowaniu na wtargnięcie do innych komputerów tworzących daną sieć bez konieczności kliknięcia przez innych użytkowników w załącznik w celu aktywacji. Oprogramowanie wykorzystuje w tym celu protokół SMB (Server Message Block) od Microsoftu. Z protokołu tego korzystało także oprogramowanie WannaCry, aby zarażać setki tysięcy systemów na całym świecie. Rozprzestrzenianie się tego zagrożenia opierało się jednak na dodatkowych lukach w systemie Windows.

Ten rodzaj złośliwego oprogramowania rozprzestrzenia się czytając tokeny logowania z lokalnej pamięci Windowsa, które wykorzystuje do logowania na innych komputerach. W przypadku, gdy użytkownikowi przydzielono rozszerzone zezwolenia – np. uprawnienia administratora – atak staje się wyjątkowo skuteczny. Emotet można także skonfigurować w ten sposób, by przeprowadzał ataki brute force ukierunkowane przeciwko kontom z wykorzystaniem zachowanych na nich listach haseł.

Emotet może także stworzyć w zainfekowanych systemach serwer proxy, umożliwiając lepszy kamuflaż dla swoich własnych działań. W ten sposób możliwe jest lepsze ukrycie infrastruktury poleceń i kontroli. Ponadto w ten sposób pojawia się również możliwość obejścia wszelkich istniejących blokad w ramach zakresu IP infrastruktury systemu.

Pliki binarne zamiast procesów

Oprócz modułów opisanych powyżej, Emotet może także ponownie załadować klasyczne pliki zawierające złośliwe oprogramowanie. Przestępcy z reguły posługują się takimi trojanami bankowymi jak Zeus Panda, Corebot, Trickbot czy Gozi. Ostatnio jednak coraz częściej pojawiają się doniesienia o tym, iż Emotet ponownie ładuje również złośliwe oprogramowanie typu ransomware, takie jak Ryuk i aktywuje je po przeprowadzeniu pogłębionej analizy sytuacji firmy.

Źródło: G DATA