Nacionalni CERT upozorava na zlonamjerni Emotet

U posljednjih par dana Nacionalni CERT zaprimio je veliki broj prijava vezanih za Emotet zlonamjerni sadržaj, prenosi Bug. U aktualnoj inačici zlonamjerni sadržaj se širi na način da “odgovara” na razgovore e-pošte već zaraženih računala. Treba uzeti u obzir da se same e-poruke ne šalju s računala s kojeg su razgovori e-pošte ukradeni nego nekog drugog računala koje je dio botnet mreže, navodi Nacionalni CERT.

Takve zlonamjerne e-poruke sadrže lozinkom zaštićenu ZIP datoteku čija se lozinka nalazi u samom tekstu e-poruke (na taj način napadači pokušavaju zaobići neke od sigurnosnih zaštita). U ZIP datoteci se nalazi Word dokument koji sadrži zlonamjernim macro naredbu koja služi za preuzimanje i pokretanje dodatnog zlonamjernog sadržaja.

Iz Nacionalnog CERT-a navode kako su primijetili smo veliki broj različitih tekstova u samim phishing e-porukama.

Primjeri nekih tema koje se spominju su:

• Naknada troškova prijevoza
• Smjernice za rad školskih knjižnica za vrijeme trajanja COVID-19 pandemije
• Natjecanje iz geografije
• Županijska smotra Lidrano
• Javni poziv za iskaz interesa (kod ovakvog primjera maila pošiljatelj se obično predstavlja kao pojedina županija)
• Sretan i blagoslovljen Uskrs
• Sastanak s ministrom
• Potvrda za zaposlenje dodatnih čistačica
• Stručno usavršavanje

Postoji mogućnost primanja e-poruke koja djeluje kao odgovor na neku poruku je korisnik poslao u prethodnom razdoblju, a da ona sadrži zlonamjerni privitak te tekst u kojem se navodi lozinka za ZIP datoteku kao nastavak na citirani tekst.

Nacionalni CERT radi na obradi podataka te će što prije obavijesti korisnike (odnosno dostupne kontakte za pojedine IP adrese) za koje ima podatak da su komunicirali s kontrolnim poslužiteljima (što je prilično siguran indikator kompromitacije) ili su preuzmali zlonamjerni sadržaj (to ne mora nužno rezultirati s kompromitacijom. Na primjer, antivirusni software zaustavi pokretanje zlonamjernog sadržaja nakon preuzimanja).

Nacionalni CERT preporuča da se računalo provjeri nekim od antivirusnih alata ili specijaliziranim EmoCheck alatom.

Ako postoji tehničku mogućnost blokiranja komunikacije iz mreže s određenim IP adresama, u konkretnom slučaju adresama kontrolnih poslužitelja (C&C, C2, Command and Controls servers), popis poznatih Emotet c2 poslužitelja (Dridex, Heodo, TrickBot) nalazi se na poveznici (u različitim formatima) https://feodotracker.abuse.ch/blocklist/.

Ako su alati otkrili zarazu Emotetom potrebno je i provjeriti ostala računala u mreži jer postoji mogućnost lateralnog širenja.

Na linku https://github.com/JPCERTCC/EmoCheck (32-bitna i 64-bitna verzije) se nalazi alat za provjeru/detekciju zaraze Emotetom razvijen od JPCERT/CC-a. Alat je testiran na uzorcima malwera koji smo zaprimili u prijava te se pokazao učikovitim.

Ako EmoCheck detektira zarazu Nacionalni CERt savjetuje da se putem Task Managera okonča navedeni proces, isključiti računalo iz mreže te antivirusnim alatom očistiti računalo. Uz to, potrebno je izmijeniti lozinke pohranjene u web preglednicima i klijentima e-pošte. Očišćena računala ne treba spajati nazad na mrežu sve dok se ostala računala ne provjere, odnosno očiste, zbog mogućnosti ponovne zaraze. Također, preporučuje nadogradnju operacijskih sustava na računalima jer Emotet iskorištava ranjivosti kao što je primjerice EternalBlue (ista ranjivost koju je kotio WannaCry) za lateralno širenje unutar mreže.