Неизвестные мешают работе ботнета Emotet, подменяя малварь файлам GIF

Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot.

Однако теперь неизвестные доброжелатели успешно саботируют работу ботнета. Начиная с 21 июля 2020 года они подменяют полезные нагрузки Emotet анимированными файлами GIF, эффективно предотвращая заражение жертв. Кто именно стоит за этой акцией, пока неясно, это могут быть как конкурирующие хак-группы, так и неизвестный ИБ-специалист.

Первыми на странную активность обратили внимание исследователи из группы Cryptolaemus, которые уже несколько лет внимательно следят за активностью ботнета и стараются ему противодействовать. По их данным, в настоящее время около четверти всех пейлоадов Emotet подменены GIF’ками, что вызвало значительно снижение активности ботнета.

Происходящее напрямую связано с тем, как функционирует Emotet. Так, ботнет рассылает своим потенциальным жертвам спам, содержащий вложения или ссылки, ведущие к вредоносным файлам Office. Если открыть такой файл и разрешить работу макросов, из удаленного источника на машину пользователя будет загружен фактический пейлоад.

Дело в том, что такие полезные нагрузки ботнет размещает преимущественно на взломанных сайтах на базе WordPress, доступ к которым операторы Emotet осуществляют через веб-шеллы. Причем ранее ИБ-эксперты уже обнаруживали, что злоумышленники используют для этих целей решения с открытым исходным кодом, а также применяют одинаковый пароль для всех веб-шеллов, тем самым подвергая свою инфраструктуру риску.

The Emotet payload distribution method is super insecure, they deploy an open source webshell off Github into the Wordpress sites they hack, all with the same password, so anybody can change the payloads infected PCs are receiving.
— Kevin Beaumont (@GossiTheDog) December 27, 2019

Судя по всему, теперь кто-то сумел узнать тот самый пароль, одинаковый для всех веб-шелов, и не преминул этим воспользоваться. Эти «добрые самаритяне» заменяют полезные нагрузки Emotet на взломанных WordPress-сайтах анимированными файлами GIF. За последние три дня неизвестные заменили пейлоады Emotet разными GIF’ками. Файлы они обычно берутся с Imgur или Giphy.

Так, во вторник полезную нагрузку подменяли файлом, связанным с Blink 182.

#Emotet ???????????????????????? pic.twitter.com/pozYFpPoiv
— tike (@tiketiketikeke) July 22, 2020

Затем неизвестные перешли к использованию изображения с Джеймсом Франко.

Somebody appears to be replacing Emotet payloads with this GIF of James Franco https://t.co/YCCSFwfTZb pic.twitter.com/oSPGka9l6g
— Kevin Beaumont (@GossiTheDog) July 22, 2020

После троллинг достиг своего апогея, и появился хакермен.

??? #Emotet ?????????????????? choiphui[.]com 133.130.109.0 (PTR: v133-130-109-0[.]a038[.]g[.]tyo1[.]static[.]cnode[.]io.) linhgiangcorp[.]com 133.130.97.61 (PTR: v133-130-97-61[.]a026[.]g[.]tyo1[.]static[.]cnode[.io.) HACKERMAN ?gif??????????? pic.twitter.com/efxnbfaGfc
— tike (@tiketiketikeke) July 24, 2020

По словам одного из участников Cryptolaemus, Джозефа Русена (Joseph Roosen), операторы Emotet хорошо осведомлены об этой проблеме. Специалист рассказал журналистам, что ботнет вообще отключился в четверг, 23 июля, поскольку хакеры пыталась «отвоевать» свои веб-шеллы у саботажников. Несмотря на их усилия, сегодня неизвестные по-прежнему продолжают менять полезные нагрузки на файлы GIF, хотя операторы Emotet стали восстанавливать исходные пейлоады куда быстрее, чем раньше.

По оценкам Русена, в настоящее время Emotet работает примерно на четверть своей обычной мощности, так как хакеры все еще борются за контроль над веб-шеллами.

Неизвестные мешают работе ботнета Emotet, подменяя малварь файлам GIF - «Новости»