В работу крупного ботнета Emotet вмешался неизвестный герой. Он подменяет скачиваемые пользователями файлы с вирусом безобидными гифками, тем самым эффективно предотвращая расширение количества заражённых устройств.
Emotet считают самым крупным и опасным ботнетом в Сети. Сфевраля 2020 года он не подавал признаков жизни, но недавно снова заработал, начав рассылку спам-писем, распространяющих банковский троян QakBot (QBot).
Вот только внезапно в планы преступников вмешался некий доброжелатель, который стал подменять активные загрузки (пейлоады) Emotet анимированными gif-изображениями. Саботаж системы начался 21 июля, и уже через несколько дней казавшаяся безобидной шутка превратилась в серьёзную проблему, затрагивающую как минимум 25% операций, выполняемых ботнетом.
Что вообще происходит?
По сути, один из хакеров (или целая группировка) решил стать этаким народным защитником, отражая атаки злоумышленников на компьютеры простых пользователей.
Ботнет Emotet — это сложная структура, состоящая из множества компонентов. Чтобы увеличить количество ботов (заражённых компьютеров), хакеры рассылают миллионы спам-писем, содержащих вредоносный код либо ссылку на троян, который предлагается загрузить на компьютер под видом чего-то полезного.
При открытии одного из этих файлов, перехода по ссылкам или запуске макросов в электронном документе автоматически загружается вредоносное ПО Emotet.
Хранятся компоненты вредоносных программ (пейлоады) на взломанных сайтах WordPress. Эти-то временные хранилища и являются узким местом ботнета. Ведь контроль взломанных сайтов осуществляется через веб-шеллы, установленные на взломанных серверах. Но эти шеллы, во-первых, не самые лучшие. А во-вторых, Emotet использует известные опенсорсные скрипты с Github и одинаковый пароль для всех шеллов.
Соответственно, если специалисту удастся подобрать пароль к инфраструктуре Emotet, то он сможет неплохо повеселиться. По всей видимости, кто-то смог подобрать этот пароль. И началось шоу.
Как анонимный хакер портит настроение группе Emotet
«Доброжелатель» подменил часть пейлоадов Emotet анимированными гифками. И когда потенциальная жертва Emotet открывает заражённый файл, вредонос не скачивается и не выполняется в его системе. Вместо этого человек видит какой-нибудь мем с Imgur или Giphy.
Разумеется, столь вызывающий троллинг со стороны неизвестного героя не остался незамеченным операторами ботнета. Его даже попробовали отключить на день, чтобы восстановить утраченный контроль над шеллами. Однако это не помогло. Несмотря на все усилия злоумышленников, их вредоносные компоненты по-прежнему меняются на gif-файлы. Разве что теперь исходные пейлоады восстанавливают быстрее, чем раньше.
ИТ-сообщество с интересом продолжает наблюдать за противостоянием двух сил. Высказываются предположения, что за личиной неизвестного хакера скрывается целая группа специалистов по Информационной безопасности или что это вообще представители конкурирующей с Emotet группировки.
Понравилась статья? Ставьте ЛАЙК 👍, делитесь в социальных сетях и подписывайтесь на канал, чтобы не пропускать новые выпуски! Если вы хотите оптимизировать свою ИТ-инфраструктуру, напишите или позвоните нам (+7 495 268 04 12).
