Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot.
Однако теперь неизвестные доброжелатели успешно саботируют работу ботнета. Начиная с 21 июля 2020 года они подменяют полезные нагрузки Emotet анимированными файлами GIF, эффективно предотвращая заражение жертв. Кто именно стоит за этой акцией, пока неясно, это могут быть как конкурирующие хак-группы, так и неизвестный ИБ-специалист.
Первыми на странную активность обратили внимание исследователи из группы Cryptolaemus, которые уже несколько лет внимательно следят за активностью ботнета и стараются ему противодействовать. По их данным, в настоящее время около четверти всех пейлоадов Emotet подменены GIF’ками, что вызвало значительно снижение активности ботнета.
Происходящее напрямую связано с тем, как функционирует Emotet. Так, ботнет рассылает своим потенциальным жертвам спам, содержащий вложения или ссылки, ведущие к вредоносным файлам Office. Если открыть такой файл и разрешить работу макросов, из удаленного источника на машину пользователя будет загружен фактический пейлоад.
Дело в том, что такие полезные нагрузки ботнет размещает преимущественно на взломанных сайтах на базе WordPress, доступ к которым операторы Emotet осуществляют через веб-шеллы. Причем ранее ИБ-эксперты уже обнаруживали, что злоумышленники используют для этих целей решения с открытым исходным кодом, а также применяют одинаковый пароль для всех веб-шеллов, тем самым подвергая свою инфраструктуру риску.
The Emotet payload distribution method is super insecure, they deploy an open source webshell off Github into the WordPress sites they hack, all with the same password, so anybody can change the payloads infected PCs are receiving.
— Kevin Beaumont (@GossiTheDog) December 27, 2019
Судя по всему, теперь кто-то сумел узнать тот самый пароль, одинаковый для всех веб-шелов, и не преминул этим воспользоваться. Эти «добрые самаритяне» заменяют полезные нагрузки Emotet на взломанных WordPress-сайтах анимированными файлами GIF. За последние три дня неизвестные заменили пейлоады Emotet разными GIF’ками. Файлы они обычно берутся с Imgur или Giphy.
Так, во вторник полезную нагрузку подменяли файлом, связанным с Blink 182.
#Emotet の跡地でこのおじさんに遭遇する機会が増えました。 pic.twitter.com/pozYFpPoiv
— tike (@tiketiketikeke) July 22, 2020
Затем неизвестные перешли к использованию изображения с Джеймсом Франко.
Somebody appears to be replacing Emotet payloads with this GIF of James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g
— Kevin Beaumont (@GossiTheDog) July 22, 2020
После троллинг достиг своего апогея, и появился хакермен.
国内の #Emotet 設置サイトの傾向に変化はありません。
— tike (@tiketiketikeke) July 24, 2020
choiphui[.]com
133.130.109.0
(PTR: v133-130-109-0[.]a038[.]g[.]tyo1[.]static[.]cnode[.]io.)
linhgiangcorp[.]com
133.130.97.61
(PTR: v133-130-97-61[.]a026[.]g[.]tyo1[.]static[.]cnode[.io.)
HACKERMAN のgifに置き換わっています。 pic.twitter.com/efxnbfaGfc
По словам одного из участников Cryptolaemus, Джозефа Русена (Joseph Roosen), операторы Emotet хорошо осведомлены об этой проблеме. Специалист рассказал журналистам, что ботнет вообще отключился в четверг, 23 июля, поскольку хакеры пыталась «отвоевать» свои веб-шеллы у саботажников. Несмотря на их усилия, сегодня неизвестные по-прежнему продолжают менять полезные нагрузки на файлы GIF, хотя операторы Emotet стали восстанавливать исходные пейлоады куда быстрее, чем раньше.
По оценкам Русена, в настоящее время Emotet работает примерно на четверть своей обычной мощности, так как хакеры все еще борются за контроль над веб-шеллами.
