Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. ­Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot.

Однако теперь неизвестные доброжелатели успешно саботируют работу ботнета. Начиная с 21 июля 2020 года они подменяют полезные нагрузки Emotet анимированными файлами GIF, эффективно предотвращая заражение жертв. Кто именно стоит за этой акцией, пока неясно, это могут быть как конкурирующие хак-группы, так и неизвестный ИБ-специалист.

Первыми на странную активность обратили внимание исследователи из группы Cryptolaemus, которые уже несколько лет внимательно следят за активностью ботнета и стараются ему противодействовать. По их данным, в настоящее время около четверти всех пейлоадов Emotet подменены GIF’ками, что вызвало значительно снижение активности ботнета.

Происходящее напрямую связано с тем, как функционирует Emotet. Так, ботнет рассылает своим потенциальным жертвам спам, содержащий вложения или ссылки, ведущие к вредоносным файлам Office. Если открыть такой файл и разрешить работу макросов, из удаленного источника на машину пользователя будет загружен фактический пейлоад.

Дело в том, что такие полезные нагрузки ботнет размещает преимущественно на взломанных сайтах на базе WordPress, доступ к которым операторы Emotet осуществляют через веб-шеллы. Причем ранее ИБ-эксперты уже обнаруживали, что злоумышленники используют для этих целей решения с открытым исходным кодом, а также применяют одинаковый пароль для всех веб-шеллов, тем самым подвергая свою инфраструктуру риску.

Судя по всему, теперь кто-то сумел узнать тот самый пароль, одинаковый для всех веб-шелов, и не преминул этим воспользоваться. Эти «добрые самаритяне» заменяют полезные нагрузки Emotet на взломанных WordPress-сайтах анимированными файлами GIF. За последние три дня неизвестные заменили пейлоады Emotet разными GIF’ками. Файлы они обычно берутся с Imgur или Giphy.

Так, во вторник полезную нагрузку подменяли файлом, связанным с Blink 182.

Затем неизвестные перешли к использованию изображения с Джеймсом Франко.

После троллинг достиг своего апогея, и появился хакермен.

По словам одного из участников Cryptolaemus, Джозефа Русена (Joseph Roosen), операторы Emotet хорошо осведомлены об этой проблеме. Специалист рассказал журналистам, что ботнет вообще отключился в четверг, 23 июля, поскольку хакеры пыталась «отвоевать» свои веб-шеллы у саботажников. Несмотря на их усилия, сегодня неизвестные по-прежнему продолжают менять полезные нагрузки на файлы GIF, хотя операторы Emotet стали восстанавливать исходные пейлоады куда быстрее, чем  раньше.

По оценкам Русена, в настоящее время Emotet работает примерно на четверть своей обычной мощности, так как хакеры все еще борются за контроль над веб-шеллами.

Теги: CSS