Wuhan jest przykrywką dla akcji Emotet
Koronawirus staje się przykrywką dla operacji wymierzonej na wyniszczenie i zarabianie pieniędzy. Dzięki niemu tworzy się armie zdalnych sług. Wykonują oni nieświadomie polecenia operatorów Emotet.
Dzięki żerowaniu na strachu wiadomości informujące o zakażeniach trafiają na podatny grunt. Efektem tego jest nieświadomość, że służby nie wysyłają takich przekazów do przypadkowych osób za pomocą poczty elektronicznej. Działania wymierzone w bankowość wykorzystują fakt, że ludzie nie mają świadomości, że w załączniki są używane jako instalatorzy wirusów. Czasami samo otwarcie wiadomości wystarcza do aktywacji złośliwego kodu jeśli jest on w formacie HTML.
Analitycy bezpieczeństwa z Bitdefender ustalili, że nowa operacja haktywistów stosuje pliki programu Microsoft Word. Mechanizm działania opiera się między innymi na preparowaniu odsyłaczy, aby wskazywały na stronę opisujące aktualne informacje o rozpowszechnieniu się wirusa. Wedle ustaleń z trzeciego lutego 2020 trwa operacja rozsyłania załączników. Kto je otworzy ten ulega zarażeniu. Załączniki pełnią rolę nosiciela. Po jego otwarciu następuje instalacja wirusa i włączenie do sieci botnet.
Sam Emotet jest przykładem ewolucji złośliwego oprogramowania. U swych początków pełnił rolę wyłudzacza haseł i danych do logowania. Wskutek rozwoju zyskał możliwość komunikacji z siecią zarażonych sieci, tak zwanych „komputerów zombie”. Używa się ich do przeprowadzania ataków na szeroką skalę, tak zwanego blokowania usług metodą rozproszonych połączeń (DDoS).
Od strony technicznej problem tkwi w makrach. Stanowią one programy zaszyte w aplikacjach do uruchamiania i dodawania opcji, jakie nie są dostępne standardowo. Przykładem jest otwieranie plików innych formatów, czy automatyzacja działań. W przypadku Emotet cel główny pełni uruchomienie polecenia w konsoli PowerShell. Ostatnie wersje Windows mają ten język programowania zaszyty w sobie i domyślnie dostępny. Jedną z metod ochrony przed zagrożeniem jest wyłączenie makr, aby pobrane z sieci dokumenty nie pozwalały na uruchamianie od razu poleceń. Mylące jest jednak, że wyłączenie makr powoduje wyświetlanie w pakiecie Office informacji, że dane mogą być nie wyświetlane poprawnie, co zachęca część osób do zdejmowania blokady i tym samym otwarcia furtki do zarażenia.
Stosowanie aktualnych wydarzeń do rozpowszechniania wirusów komputerowych nie jest niczym nowym, bo zaczynał docieranie do celów pod hasłem „lodowego wyzwania” (hit 2014 roku wśród młodych osób). Koronawirusy zajmują sporą część przekazu mediów, co przyczynia się do podatności na taką formę ataku. Specjaliści z MalwareBytes sugerują, że nazwa Emoteta być może odwołuje się do starożytnego egipskiego króla. Nie ma jednak pewności. Kultura virii obecnie w mniejszym stopniu publikuje ziny i prasę podziemną wyjaśniającą kroki jakie podejmowała przy tworzeniu złośliwego kodu. Emotet należy do tak zwanego malspam, czyli aplikacji operującej na wysyłaniu zarażonych wiadomości (stąd skrót od malware mails).
Ze względu na formę naśladują one uznanych dostawców listów elektronicznych na przykład zamówień, czy informacji o płatnościach elektronicznych. Pojawił się w obiegu sześć lat temu. Od swych początków nastawiał się na kradzież prywatnych informacji. Jedna akcja Emotet w Stanach Zjednoczonych jest liczona na jeden miliard dolarów potrzebnych do naprawienia szkód. Amerykański Departament Bezpieczeństwa Wewnętrznego ocenił go za najbardziej kosztowny i niszczycielski program w swej klasie.
Obok makr z Microsoft Word używał on kodu JavaScript. Wykrywa uruchomienie w maszynach wirtualnych, czyli izolowanych środowiskach, co powoduje, że szuka metod kamuflażu przed wykryciem. Posiada również moduł do aktualizacji, aby działała skuteczniej. Stosuje metody siłowe ataku dla zgadywania haseł, czyli sprawdza wszelkie możliwości. U swych początków atakował banki w Niemczech i Austrii. Od stycznia 2015 posiada system „niewidzialności” dla uniknięcia wykrycia, a także zakres celów poszerzył się o szwajcarskie banki. Od 2018 zyskał możliwość instalowania innych wirusów na zarażonych komputerach. Wedle Gizmodo jeden ataku Emotet w lipcu 2019 kosztował Lake City na Florydzie sto sześćdziesiąt tysięcy dolarów. Wśród celów operatorów wirusa znalazły się również organizacje z Kanady, Stanów Zjednoczonych, czy Wielkiej Brytanii.
Specjaliści zalecają dla ochrony przed nową kampanią nie otwierania podejrzanych załączników, stosowania silnych haseł w tym logowania dwuetapowego i bieżące aktualizacje komputera.
Jacek Skrzypacz
Źródło: Jacek Skrzypacz
