Компанія ESET попереджає про зростання активності ботнета Emotet, який поширюється через спам та може викрадати інформацію з пристроїв жертв. Зокрема зловмисники можуть збирати інформацію про банківські картки, що зберігається в браузері.

При цьому кіберзлочинців цікавлять не лише пристрої компаній, а й звичайних користувачів. Більшість атак протягом 2022-2023 років були спрямовані на деякі країни Європи, а також Японію.

«Emotet поширюється через спам. Загроза може викрадати інформацію із інфікованих комп’ютерів і поширювати сторонні шкідливі програми. Кіберзлочинці не дуже вибагливі під час вибору своїх цілей, встановлюючи шкідливе програмне забезпечення у системи, які належать окремим особам, компаніям і організаціям», — розповідає Якуб Калоч, дослідник ESET.

Варто зазначити, що Emotet — це сімейство шкідливих програм, яке активне з 2014 року і управляється групою кіберзлочинців, відомою як Mealybug або TA542. Спочатку загроза мала функціонал банківського трояна, а потім перетворилася на ботнет, який став однією з найпоширеніших загроз у всьому світі. У січні 2021 року Emotet був знешкоджений в результаті спільних зусиль восьми країн, координованих Євроюстом і Європолом.

Ботнет повернувся в листопаді 2021 року та запустив кілька хвиль спам-повідомлень. З кінця 2021 до середини 2022 року Emotet поширювався здебільшого через шкідливі документи Microsoft Word і Microsoft Excel із вбудованими макросами VBA. Вимкнення у 2022 році Microsoft макросів VBA в документах, отриманих через Інтернет, змінило правила гри для багатьох сімейств шкідливих програм, які використовували фішингові електронні листи зі шкідливими документами як метод розповсюдження.

«До кінця 2022 року зловмисники намагалися знайти новий вектор атаки, який був би таким же ефективним, як макроси VBA. У 2023 році вони поширювали шкідливий спам, експериментуючи з різними техніками проникнення та соціальної інженерії», — пояснює дослідник ESET.

Пізніше Emotet використовував вбудовану приманку в MS OneNote, і навіть попередження, що ця дія може призвести до завантаження шкідливого вмісту, як правило, жертв не зупиняло. Крім цього, після його повторної появи у ботнет було додано кілька нових модулів та функцій, щоб запобігати відстеженню та ускладнити виявлення.

Поширюється Emotet через спам-повідомлення, і користувачі часто довіряють цим електронним листам. І хоча до знешкодження загроза викрадала повідомлення та контактну інформацію з Outlook, то після відновлення діяльності ботнет зосередився на безкоштовній альтернативній програмі для обміну електронною поштою – Thunderbird. Крім цього, загроза почала використовувати модуль, який викрадає інформацію про банківські картки, що зберігається в браузері Google Chrome.

Відповідно до телеметрії ESET, активність ботнета зменшилася з початку квітня 2023 року, ймовірно, через пошук нового ефективного вектору атаки. Більшість атак Emotet, виявлених ESET із січня 2022 року, були спрямовані на Японію (43%), Італію (13%), Іспанію (5%) та Мексику (5%).