Trojský kůň Emotet obnovuje spamové útoky

Říká se, že bychom se měli učit z historie, protože je v ní mnoho příkladů toho, co se stane, když si lidé nedávají pozor. V poslední době by se všem uživatelům počítačů v mnoha zemích světa hodila, světe div se, povinná četba o Odysseovi a Trojské válce. Vzpomínáte si, jak ji Řekové nakonec vyhráli? Tím, že za hradby nedobytné Troje poslali „dar“ s ukrytými bojovníky, tzv. Trojského koně, no a pak už vše šlo jako po másle. Ale pozor, moderní trojští koně nejsou bohužel dřevění, ale jak už to tak v 21. století bývá, digitální.

Jeden takový trojský kůň, škodlivý program Emotet, který stál na začátku prosincového kyberútoku na nemocnici v Benešově (v podvrženém e-mailu byla příloha s falešnou fakturou), je po delší sváteční pauze zpět a pilně šíří svou škodlivou spamovou kampaň na cíle v 82 zemích po celém světě.

Tvůrci této phishingové kampaně využívají různé e-mailové šablony, které předstírají, že jsou např. faktury, reporty, smlouvy, prohlášení, hlasové zprávy, dále pozvánky na sváteční oslavy, nebo dokonce pozvánky na demonstrace proti klimatickým změnám pořádané Gretou Thunberg.

Spamy zahrnují běžné e-maily i řetězové útoky s odpověďmi. Dále obsahují nebezpečné přílohy, po jejichž otevření se, stejně jako příslovečný trojský kůň, škodlivý program Emotet nainstaluje do počítače.

Poté použije počítač oběti k tomu, aby dále rozesílal spamy a také do něj stáhne další viry, jako je například jiný trojský kůň, bankovní virus TrickBot, který poté zneužije k ohrožení celé sítě a všech zařízení v ní, což může nakonec vést až k nákaze ruským kryptovirem Ryuk, který dle webu iRozhlas napadl data právě v benešovské nemocnici.

Emotet se vrátil z dovolené

Odborník na virus Emotet, Joseph Roosen, sdělil serveru BleepingComputer, že si Emotet udělal vánoční pauzu, když 21. prosince 2019 zastavil rozesílání spamových kampaní i přesto, že jeho řídicí servery pokračovaly ve spouštění a vydávání aktualizací.

A protože každá dovolená jednou skončí, tak 13. ledna 2020 kolem 14:30 středoevropského času pan Roosen stejnému serveru sdělil, že Emotet opět začal chrlit spamy cílené na příjemce po celém světě.

Společnost Cofense zabývající se bezpečností e-mailů se se světem podělila o vzorky těchto spamů, viz obrázky níže. Součástí odeslaných e-mailů jsou buďto přiložené dokumenty, nebo odkazy, ze kterých si je lze stáhnout.

Reply-chain Emotet Spam

Další podobou kampaně jsou doručenky, se kterými se setkal odborník na bezpečnost, James, a které měly být údajně odeslány z účetního oddělení.

Proof of delivery spam

U všech kampaní, se kterými jsme se setkali, se uživateli v okamžiku, kdy otevře přílohu, zobrazí zpráva s textem, že „dokument je k dispozici pouze pro verze aplikace Microsoft Office Word pro počítače nebo notebooky“. Ta poté vyzve uživatele, aby klikl na „Povolit úpravy“ nebo „Povolit obsah“, aby si mohl dokument zobrazit.

Malicious Word

Jakmile uživatel dokument otevře, spustí se škodlivá makra, která si ze vzdáleného serveru stáhnou virus Emotet a spustí jej.

A jaké je tedy poučení z historie pro 21. století?

Zaprvé, nebuďte přehnaně důvěřiví. Pokud si nejste jistí, nikdy neotevírejte přílohy od nikoho, aniž byste si s ním telefonicky potvrdili, že vám soubor skutečně poslal. Zadruhé, vždy buďte opatrní při povolování obsahu nebo maker u jakékoli přílohy, která vám přijde do e-mailu, zvláště, je-li e-mail v angličtině.

No a chcete-li být opravdu v bezpečí, doporučujeme, abyste nahráli podezřelé přílohy do VirusTotal, abyste zkontrolovali škodlivá makra před tím, než je otevřete.

Ransomware může udeřit i na vaši organizaci. Spojte se s námi a poradíme vám jak vaši organizaci zabezpečit.

Odkazy:

• https://www.bleepingcomputer.com/news/security/emotet-malware-restarts-spam-attacks-after-holiday-break/
• https://www.lidovky.cz/domov/ukliknuti-stalo-nemocnici-v-benesove-40-milionu-kyberutok-zacal-kliknutim-na-prilohu.A200115_201359_ln_domov_vlh