سوییچ بات‌نت Emotet به ماژول‌های ۶۴ بیتی و افزایش فعالیت

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir emotet botnet switches to 64 bit modules increases activity 1
بدافزار Emotet در حال توزیع گسترده است و به احتمال زیاد به زودی به سمت payload‌های جدیدی که در حال حاضر توسط موتور‌های آنتی ویروس کمتری شناسایی می‌شوند تغییر خواهد کرد.

محققان امنیتی که بر بات‌نت نظارت می‌کنند مشاهده کرده‌اند که‌ ایمیل ‌های حامل payload‌های مخرب در ماه گذشته ده برابر افزایش یافته است.

بدافزار Emotet، یک تروجان مدولار خود انتشار است که می‌تواند پایداری را در هاست حفظ کند. این تروجان برای سرقت اطلاعات کاربر، انجام شناسایی شبکه، حرکت جانبی، یا استقرار payload‌های اضافی مانند Cobalt Strike و به ویژه باج‌افزار استفاده می‌شود.

این بدافزار، از ابتدای سال به آهستگی اما پیوسته در حال رشد بوده است، اما اپراتور‌های آن ممکن است اکنون سرعت خود را تغییر دهند.

افزایش در توزیع
طبق گزارشی که Kaspersky امروز منتشر کرد، فعالیت Emotet از فوریه تا مارس افزایش شدیدی داشته و از ۳۰۰۰ به ۳۰۰۰۰‌ ایمیل رسیده است.

زبان‌های استفاده شده در این پیام‌ها عبارتند از: انگلیسی، فرانسوی، مجارستانی، ایتالیایی، نروژی، لهستانی، روسی، اسلوونیایی، اسپانیایی و چینی.

در مورد مضامین، توزیع‌کنندگان Emotet به تغییر مرتب موضوعات برای استفاده از سوئیفت‌های علاقه فصلی معروف هستند. این بار از موضوع جشن عید پاک، بهره می‌برده‌اند.

چک پوینت همچنین گزارشی منتشر کرد که Emotet را در مارس ۲۰۲۲ به عنوان اولین بدافزار رایج و فعال رتبه‌بندی کرد.
takian.ir emotet botnet switches to 64 bit modules increases activity 2
کسپرسکی اشاره می‌کند که کمپین‌های توزیع‌ ایمیل Emotet از ترفند‌های ربودن موضوع بحث استفاده می‌کنند که در کمپین‌های Qbot مرتبط با اپراتور‌های مشابه دیده می‌شود.

کسپرسکی گفت: «مجرمان سایبری مکاتبات موجود را رهگیری می‌کنند و‌ ایمیلی حاوی فایل یا پیوندی برای گیرندگان ارسال می‌کنند که اغلب به یک سرویس میزبانی ابری مشروع و قانونی منتهی می‌شود».

محققان خاطرنشان می‌کنند: «هدف‌ ایمیل ، متقاعد کردن کاربران به دنبال کردن لینک و دانلود یک سند آرشیو شده و باز کردن آن است (گاهی اوقات با استفاده از رمز عبور ذکر شده در‌ ایمیل، یا (ii) به سادگی باز کردن یک پیوست‌ ایمیل)».

از آنجایی که عوامل تهدید به مکاتبات قبلی دسترسی دارند، ارائه پیوست به عنوان چیزی که گیرنده انتظار آن را به عنوان ادامه بحث با همکاران دارد، بسیار آسان است.

تغییر به ۶۴ بیت
گروه تحقیقاتی امنیتی Cryptolaemus که فعالیت‌های بات‌نت Emotet را زیر نظر دارد، گفت که اپراتور‌های بدافزار همچنین در Epoch 4، یکی از زیر گروه‌های بات‌نت که در زیرساخت‌های جداگانه اجرا می‌شوند، به لودر‌های ۶۴ بیتی و ماژول‌های دزد تغییر کرده‌اند. در حالی که قبلاً به کد ۳۲ بیتی متکی بود.

آن‌ها در توییتی در ۱۹ آپریل گفتند: «بروز‌رسانی Emotet - به نظر می‌رسد ایوان برای عید پاک تخم گذاشته و مشغول بوده است. از حدود ساعت ۱۴:۰۰ UTC امروز ۱۸/۰۴/۲۰۲۲ - Emotet در Epoch 4 به استفاده از لودر‌های ۶۴ بیتی و ماژول‌های دزد تغییر کرده است. قبلاً همه چیز ۳۲ بیتی بود به جز لورد‌های موقتی».

به گفته محققان Cryptolaemus، سوئیچ در Epoch 5 قابل مشاهده نیست، اما تأخیر پیش‌بینی می‌شود، زیرا Epoch 4 معمولاً به عنوان یک بستر آزمایشی توسعه برای اپراتور‌های Emotet عمل می‌کند.

در حال حاضر، نرخ تشخیص برای Epoch 4، شصت درصد (60%) کاهش یافته است و اعتقاد بر این است که این کاهش چشمگیر، نتیجه مستقیم این تغییر است.

برچسب ها: 32-bit, 64-bit, Epoch 5, ۳۲ بیت, ۶۴ بیت, Epoch 4, Cryptolaemus, Qbot, بات‌نت, Loader, لودر, باج‌افزار, Switch, Cobalt Strike, ماژول, Payload, Trojan, emotet, Bot, Update, Email, Antivirus, cybersecurity, Kaspersky, malware, ransomware , سوئیچ, ایمیل, تروجان, Botnet, آنتی ویروس, بدافزار, امنیت سایبری, کسپرسکی, نفوذ, Cyber Attacks, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ