Το Emotet banking Trojan εντοπίστηκε για πρώτη φορά από ερευνητές ασφαλείας το 2014. Το Emotet σχεδιάστηκε αρχικά ως ιομορφικό λογισμικό με στόχο τραπεζικές συναλλαγές και σαν σκοπό έχει την υποκλοπή ευαίσθητων και ιδιωτικών προσωπικών πληροφοριών. Στις νεώτερες εκδόσεις του Emotet, έχουν προστεθεί δυνατότητες αποστολής ανεπιθύμητων μηνυμάτων (spam / Phishing emails) και εγκατάστασης άλλου ιομορφικού λογισμικού στον υπολογιστή στόχο – συμπεριλαμβανομένων και άλλων τραπεζικών Trojan.

Το Emotet διαθέτει λειτουργικότητα που βοηθά το ιομορφικό λογισμικό να αποφύγει τον εντοπισμό από ορισμένα anti-malware προϊόντα. Το Emotet έχει την δυνατότητα να μολύνει αυτόματα ένα δίκτυο υπολογιστών, έχει δηλαδή δυνατότητες worm. Αυτό έχει σαν αποτέλεσμα ένας μολυσμένος υπολογιστής, να χρησιμοποιείται ως κόμβος διανομής του συγκεκριμένου ιομορφικού λογισμικού, ειδικά με χρήση ηλεκτρονικών μηνυμάτων και όχι μόνο.

Η κύρια μέθοδος διανομής του Emotet είναι μέσω ανεπιθύμητης ηλεκτρονικής αλληλογραφίας. (malspam). Μόλις το Emotet αποκτήσει πρόσβαση στον υπολογιστή μας, υποκλέπτει τη λίστα των επαφών μας και αποστέλλεται (το Emotet) με επισυναπτόμενα αρχεία ή παγιδευμένους συνδέσμους στους φίλους μας, στην οικογένειά μας, στους συναδέλφους και γενικά στους πελάτες μας, εάν είμαστε εταιρεία. Δεδομένου ότι αυτά τα μηνύματα ηλεκτρονικού ταχυδρομείου προέρχονται από τον παραβιασμένο λογαριασμό προσώπου που έχουμε αλληλογραφία, τα μηνύματα ηλεκτρονικού ταχυδρομείου μοιάζουν λιγότερο ύποπτα και οι παραλήπτες, αισθάνονται ασφαλείς, και πιο εύκολα κάνουν κλικ σε παγιδευμένες διευθύνσεις URL και να κατεβάζουν / ανοίγουν μολυσμένα αρχεία.

Εάν ο υπολογιστής που μολύνθηκε είναι συνδεδεμένος σε εσωτερικό δίκτυο, τότε το Emotet μολύνει τους γειτονικούς υπολογιστές, χρησιμοποιώντας μια λίστα κοινών / απλών κωδικών πρόσβασης και την τεχνική brute forcing (δοκιμή συνθηματικών). Έχει παρατηρηθεί από ερευνητές πως το Emotet, μετά την μόλυνση κατεβάζει και εκτελεί ένα άλλο trojan το TrickBot, το οποίο με την σειρά του για να μολύνει ένα εσωτερικό δίκτυο, εκμεταλλεύεται την ευπάθεια του EternalBlue / DoublePulsar.

Πως εντοπίζουμε ένα phishing email;

Πληροφορίες για να εντοπίσουμε και να προστατευτούμε από phishing email γενικά, μπορούμε να βρούμε στον σύνδεσμο:

  • https://csirt.cd.mil.gr/el/phishing/
  • https://www.certcoop.eu/index.php/tutorials/
  • https://www.certcoop.eu/wp-content/uploads/2019/04/Restore_point_and_controlled_folder_access.ogv