Ugyan nagyobb kampányokat még nem észleltünk, de egy kártevő elemzéséből kiderült, hogy fű alatt visszatért az Emotet.

Tavaly januárban nyolc ország koordinált összefogásának köszönhetően sikerült lekapcsolni az évtized legkártékonyabb botnetét, az Emotet-et. A kártevő a becslések szerint addig 3,5 milliárd dolláros kárt okozott. Idén azonban újból megjelent, igaz, a saját terjesztési infrastruktúra nélkül már lassabban okoz kárt.

Igazi svájcibicska a kártevők között

Az Emotet 2014-ben jelent meg először, akkor még csak banki trójaiként vetették be, illetve az azonosítók ellopására használták. Azonban a kártevőt folyamatosan tovább fejlesztették, igazi svájcibicska lett belőle: spambotként, információt ellopó kártevőként egyaránt használható volt, de a Trickbot és a Ryuk zsarolóvírus terjesztésére is használták. Az Emotet botnetet az is veszélyessé tette, hogy bárki kibérelhette, és saját céljaira felhasználhatta. Naponta rengeteg variáns jelent meg belőle.

A G DATA szakembereinek elemzése azonban azt mutatja, hogy az Emotet visszatért. A 2021 novemberében elfogott minta sok tekintetben technikailag rendkívül hasonlít az eredeti Emotethez, a forráskód elemzése is ezt támasztja alá. Különbségek is vannak: a hálózati forgalmat például továbbra titkosítja, azonban erre az új variáns egy saját maga által aláírt HTTPS tanúsítványt használ.

A szakemberek egyelőre nem figyeltek meg jelentős levélszemét kampányokat az új variánsú Emotet-tel kapcsolatban. Azt tapasztalták, hogy .docm és .xlms kiterjesztésű csatolmányokban, ahogyan jelszó által védett ZIP csatolmányokban is próbálkoztak terjesztésével. Mivel a saját terjesztési hálózatát tavaly lekapcsolták, jelenleg a Trickbot infrastruktúráját használja terjedéséhez.

A G DATA ügyfelek védettek az új Emotet variánsokkal szemben.