Za neupućene, Emotet je grupa cyber kriminalaca, istoimeni alat je skup prilično gadnih modula koji su u sinergiji jedan sa drugim.
Emotet ima mogućnost propragacije putem lokalne mreže uz pomoć EternalBlue exploita (SMBv1). Trenutno koristi svoj spam modul kao alat za širenje.
Nakon pokretanja .doc fajla pokreće se vezana macro skripta koja pristupa COM shell-u, ili win power shell-u te radi egzekuciju komande za download .exe fajla, sa statičke IP adrese.
Exe fajl je značajno maliciozniji od same skripte. Do sada se na ovaj način vršio injection: banking trojanaca, crypto minera, Conti ili ProLock ransomware-a te TrickBot-a.
Trenutno, u ovom momentu, se širi putem e-maila, u obliku .doc fajla (nekada bude zipovan).
Ono što je zanimljivo u ovoj iteraciji Emotet-a je da kada vrši spamanje, sa zaraženog računara upisuje u polje FROM (name) stvarno ime (zaraženog) korisnika (sigurno čitaju podatke sa mail klijenta) , tako da primatelj ima povjerenje u autentičnost e-maila. A prvi primatelji su oni koji su imali interakciju sa zaraženim. Što znači da čita mailove, pokupi adrese primatelja i pošiljaoca, predstavi se kao legitiman user, sa imenom i validnom e-mail adresom i spama sa malware payload-om.
Veličina .doc fajla: 165KB
Naziv fajla: jan.-05-19195670-2021.doc
Checksum: 3724b137d395a8ff9abcbe11e75553e699c89099a6f10f8b7c81b22214d5781e
Veličina .zip fajla: 90 - 92KB
Naziv fajla: informazioni 2021 14838707.zip
Checksum: a623ec22c9a186da0551ddf4630a63f3eede91a1ae280469839ea84d19c307d2
Službeni naziv: Doc.Dropper.EmotetRed1220-9816007-0 (za stariju verziju)
Perzistencija ( nije konačna lista ) :
C:\Windows\System32\randomnumber\
C:\Windows\System32\tasks\randomname
C:\Windows\[randomname]
C:\users[myusers]\appdata\roaming[random]
%appdata%\Roaming\Microsoft\Windows\Start Menu\Programs\Startup [Randomname].LNK. file in the startup folder
Registry keys
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services {Random Hexadecimal Numbers}
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run {Random Names} with value c:\users\admin\appdata\roaming\{Random}{Legitimate Filename}.exe
Filename examples
PlayingonaHash.exe
certapp.exe
CleanToast.exe
CciAllow.exe
RulerRuler.exe
connectmrm.exe
Izvukao sam listu trenutno zaraženih domena, koju sam kreirao na svom mail serveru (filter) gdje sam morao blokirati i neke zemlje zbog ogromnog broja spam poruka.
Trenutno zaražene domene: https://pastebin.com/fyUMzkW4
Provjerite, preskenirajte, attachment prije nego ga otvorite.
BTW: virustotal ne očitava Emotet kao malware kada je zipovan: