В течение нескольких последних месяцев спам-троян Emotet бездействовал – специалисты по информационной безопасности не фиксировали подобных активностей. Теперь он снова в действии и извергает огромное количество вредоносных писем, нацеленных на пользователей из разных уголков мира.
Emotet – разновидность вредоносного ПО, распространяемого через спам. Оно содержит зараженные документы MS Word и Excel. В прикрепленных к письмам документах применяются макросы для загрузки и инсталляции вредоносного ПО на устройство жертвы. Установленный Emotet начинает активно догружать другой вредоносный софт, используя атакованное и уже зараженное устройство для отправки новых пачек писем уже другим получателям.
ИБ-специалист Джемс Куинн отметил, что в последний раз активность Emotet наблюдалась 7 февраля 2020 г., после чего вредоносное ПО ушло в бессрочный «отпуск». При этом команда Cryptolaemus, занимающаяся отслеживанием Emotet, постоянно докладывала, что вредоносные модули спам-трояна систематически обновляются несмотря на то, что ботнет не рассылал никакого спама (за исключением нескольких тестов).
17 июля 2020 г. Emotet снова вернулся к жизни, рассылая огромному количеству пользователей спам с различной информацией о доставке, счетах, работе и т. д. Рассылаемые вредоносные письма содержали преимущественно прикрепленные MS Word файлы. Небольшая активность Emotet была зафиксирована специалистами еще 13 июля, когда рассылалось ограниченное количество вредоносных писем, но с использованием старых URL-адресов.
Джозеф Розен, представитель Cryptolaemus, отметил, что на данный момент Emotet рассылает огромное количество спама, а прикрепленные вредоносные файлы пользуются уже обновленными URL-адресами. В качестве примерна мистер Розен приводит одно из писем, который представлен в виде шаблона цепочки ответов, а прикрепленный файл имитирует документ информации об отгрузки товара от Loomis-express.com:
Также отмечается, что многие вредоносные письма связаны с тематикой устройства на работу/вакансий, что очень актуально в условиях постепенно выхода людей из карантина.
В прикрепленных документах применяется новый шаблон, который сообщает пользователю при открытии, что стандартным образом файл открыт быть не может, потому что создавался с iOS. Поэтому требуется «разрешить редактирование», нажав на соответствующую кнопку. Включенное пользователем редактирование позволяет запуститься макросу, который и начинает вредоносную деятельность на устройстве жертвы.