بر اساس تحقیقات جدید، بدافزار Emotet بعد از چند ماه وقفه دست پر برگشته است. این بدافزار اکنون از پیلودهای آپدیتشده که اپراتورها آنها را برای ناشناس ماندن به کار میبرند استفاده میکند. ظاهراً اپراتورهای Emotet به صورت موجی حمله میکنند: بین حملات وقفههایی میدهند و در طول همین آنتراک توسعهدهندگان این بدافزار را ارتقا داده و آپدیت میکنند. محققین امنیتی دریافتند که Emotet اکنون باری دیگر بعد از وقفهای دو ماهه فعال شده است.
ایمیلهای ناشی از باتنت Emotet باری دیگر به جریان افتادهاند. مقیاس این کمپین بدافزار بزرگ است: ایمیلهای آلوده بسته به کشور مورد نظر به زبانهای مختلف ارسال میشوند و یا بسته به تعطیلات و سایر رویدادهای خاص در این ایمیلها تمهای متفاوتی به کار گرفته میشود. اما فرق اصلی در این است که بدافزار چطور به کاربران میگوید ماکروها را فعالسازی کنند (این اصلیترین گام در پروسه آلودگی است). به گفتهی محققین Cofense، «داکیومنت هنوز حاوی کد مخرب ماکرو است که باعث میشود Emotet نصب شود و هنوز هم ادعا میکند داکیومنتی "محافظتشده" است که اگر کاربران تمایل دارند بازش کنند باید ابتدا ماکروها را فعالسازی نمایند.
نسخهی قدیمی بعد از فعال شدن ماکروها هیچ واکنش مشهودی نشان نمیدادند که شاید همین قربانی را مشکوک میکرد اما نسخهی جدید دیالوگ باکسی را میسازد که میگوید Word experienced an error trying to open the file. همین برای کاربر توجیهی میشود برای ندیدن محتوای مورد انتظار. بدینترتیب احتمال اینکه کاربر کل رخداد را نادیده بگیرد درحالیکه Emotet دارد در پسزمینه اجرا میشود بیشتر میشود».
این بدافزار چندتایی آپدیت از خود منتشر کرد. نرمافزار مذکور در قالب DLL تنظیمشده توسط rundll32.exe ویندوز ارائه میشود. ارتباط با فرمان و مرکز کنترل نیز بعد از آنکه عاملین از فایلهای متن ساده[1] به دودویی[2] سوئیچ کردند دشوارتر میشود. آپدیت جدید Emotet مشخص کرده است که این بدافزار آمده است بماند و عاملین پشت آن احتمالاً آن را به روز خواهند کرد تا بدینترتیب هر قدر میشود قربانی بیشتری گرفته و راهکارهای امنیتی را دور بزنند.
[1] plain text
[2] binary