Các cơ quan an ninh mạng khắp châu Á và châu Âu đã đưa ra nhiều cảnh báo bảo mật liên quan đến sự hồi sinh của email dựa trên Phần mềm độc hại Emotet các cuộc tấn công nhắm vào các doanh nghiệp ở Pháp, Nhật Bản và New Zealand.
“Các email chứa các tệp đính kèm hoặc liên kết độc hại mà người nhận được khuyến khích tải xuống”, New Zealand’s Nhóm ứng cứu khẩn cấp máy tính (CERT) cho biết. “Các liên kết và tệp đính kèm này có thể trông giống như hóa đơn chính hãng, tài liệu tài chính, thông tin vận chuyển, sơ yếu lý lịch, tài liệu được quét hoặc thông tin trên COVID-19, nhưng chúng là giả mạo.”
Gây ra những lo ngại tương tự, CERT của Nhật Bản (JPCERT / CC) cảnh báo rằng họ nhận thấy một tăng nhanh trong số lượng địa chỉ email tên miền trong nước (.jp) đã bị nhiễm phần mềm độc hại và có thể bị lợi dụng để gửi email spam nhằm tìm cách lây lan thêm phần mềm độc hại.
Lần đầu tiên được xác định trong 2014 và được phân phối bởi một nhóm mối đe dọa được theo dõi là TA542 (hoặc Mummy Spider), Emotet kể từ đó đã phát triển từ nguồn gốc ban đầu là một Trojan ngân hàng đơn giản thành một “con dao Quân đội Thụy Sĩ” mô-đun có thể hoạt động như một trình tải xuống, trình đánh cắp thông tin và spambot tùy thuộc vào cách nó được triển khai.
Trong những tháng gần đây, chủng phần mềm độc hại đã được liên kết với một số chiến dịch malspam do botnet điều khiển và thậm chí có khả năng cung cấp các tải trọng nguy hiểm hơn như Ryuk ransomware bằng cách cho các nhóm phần mềm độc hại khác thuê mạng botnet của các máy bị xâm nhập.
Sự gia tăng mới trong hoạt động Emotet trùng với trở lại vào ngày 17 tháng 7 sau một thời gian phát triển kéo dài kéo dài kể từ ngày 7 tháng 2 đầu năm nay, với phần mềm độc hại đã gửi nhiều 500.000 email vào tất cả các ngày trong tuần nhắm mục tiêu đến các tổ chức Châu Âu.
“Vào khoảng ngày 7 tháng 2, Emotet đã bước vào khoảng thời gian mà họ ngừng gửi thư rác và bắt đầu làm việc để phát triển phần mềm độc hại của mình”, Binary Defense nêu trong một báo cáo tháng trước nêu chi tiết một cách khai thác (được gọi là EmoCrash) để ngăn phần mềm độc hại ảnh hưởng đến hệ thống mới.
Thường lây lan qua các chiến dịch email lừa đảo quy mô lớn liên quan đến các tệp đính kèm tệp ZIP độc hại được bảo vệ bằng Microsoft Word hoặc bằng mật khẩu, làn sóng tấn công gần đây đã lợi dụng một kỹ thuật gọi là chiếm quyền điều khiển chuỗi email, sử dụng nó để lây nhiễm các thiết bị TrickBot và QakBot Trojan ngân hàng.
Nó hoạt động bằng cách lọc các cuộc trò chuyện email và tệp đính kèm từ các hộp thư bị xâm nhập để tạo ra các chiêu dụ lừa đảo thuyết phục dưới dạng phản hồi ác ý đối với các chuỗi email hiện có, đang diễn ra giữa nạn nhân bị nhiễm và những người tham gia khác nhằm làm cho các email có vẻ đáng tin cậy hơn.
Cơ quan An ninh mạng Quốc gia Pháp (ANSSI) nói.
Ngoài việc sử dụng JPCERT / CC’s Công cụ kiểm tra cảm xúc để phát hiện sự hiện diện của trojan Emotet trên máy Windows, bạn nên quét nhật ký mạng thường xuyên để tìm bất kỳ kết nối nào với Emotet đã biết lệnh và kiểm soát (C2) cơ sở hạ tầng.
“Kể từ khi trở lại sau một kỳ nghỉ kéo dài, các chiến dịch email TA542 một lần nữa lại trở nên phổ biến nhất theo khối lượng tin nhắn với tỷ lệ lớn, chỉ với một số tác nhân khác đến gần”, Proofpoint cho biết trong một phân tích toàn diện của Emotet vào tháng trước.
“Họ đã đưa ra các thay đổi mã đối với phần mềm độc hại của họ, chẳng hạn như cập nhật cho mô-đun gửi email và chọn một khối liên kết mới để phân phối (Qbot), [and] mở rộng nhắm mục tiêu đến các quốc gia sử dụng ngôn ngữ mẹ đẻ. “
