Неизвестный мститель саботирует работу ботнета Emotet, заменяя вредоносную нагрузку анимированными GIF'ками


    Кадр одной из гифок, которые теперь загружаются вместо стандартных зловредов Emotet

    Неизвестный хакер-мститель саботирует работу крупного ботнета Emotet, заменяя полезную нагрузку анимированными GIF-файлами — и таким образом эффективно предотвращая заражение жертв, пишет ZDNet.

    На сегодняшний день Emotet считается самым крупным и опасным ботнетом в Сети. Он молчал в течение пяти месяцев, но возобновил активность на прошлой неделе. Но лёгкой жизни бандитам никто не обещал.

    Саботаж системы начался 21 июля, а через несколько дней превратился из простой шутки в серьёзную проблему, которая затронула значительную часть операций ботнета.

    Активность Emotet отслеживает группа из более 20 добропорядочных хакеров Cryptolaemus. Ежедневные обновления публикуются на официальном сайте и в твиттере.

    По их данным, некий «народный мститель» теперь подменяет около 25% полезных нагрузок Emotet.

    Как ему это удаётся?

    Emotet — механизм со сложной структурой, которая состоит из нескольких компонентов. Для пополнения армии ботов сначала рассылаются миллионы спамерских писем, которые содержат либо вредоносный документ Office, либо ссылку на вредоносный файл, который пользователям предлагается загрузить на свои компьютеры.

    Когда пользователи открывают один из этих файлов и нажимают ссылки внутри файла или включают функцию «Включить редактирование», чтобы разрешить выполнение макросов, автоматизированные скрипты загружают вредоносную программу Emotet и различные её компоненты.


    В качестве хостинга для поставки этих файлов используются взломанные сайты WordPress, где группировка Emotet временно хранит компоненты своих вредоносных программ (или «полезную нагрузку» на жаргоне инфобеза). Эти временные хранилища также являются ахиллесовой пятой Emotet.

    Группа Emotet контролирует взломанные сайты через веб-шеллы, установленные на взломанных серверах. Но хакеры используют не самые лучшие шеллы. Ещё в прошлом году специалисты обратили внимание, что Emotet использует известные опенсорсные скрипты с Github и одинаковый пароль для всех шеллов, подвергая свою инфраструктуру лёгким атакам, если подобрать пароль.

    Судя по всему, кто-то подобрал этот пароль. И со вторника на этой неделе он начал веселиться.

    Неизвестный «злоумышленник» заменил полезные нагрузки Emotet на некоторых взломанных сайтах WordPress анимированными GIF-файлами. Это означает, что когда мишень Emotet открывает вредоносный файл Office, вредоносная программа Emotet не скачивается и не выполняется в его системе, а вместо этого он получает какой-нибудь популярный мем.



    Первой появилась гифка WTF группы Blink 182.



    На второй день злоумышленник перешёл к использованию GIF-файла Джеймса Франко.



    После этого специалисты наблюдали гифку Hackerman.



    GIF-файлы загружаются в случайном порядке либо c Imgur, либо с GIF-хостинга Giphy.

    Банда Emotet в курсе проблемы. По словам члена группы Cryptolaemus Джозефа Рузена, в четверг ботнет отключили на техническое обслуживание: судя по всему, хакеры пытались отключить доступ злоумышленника к своей сети шеллов.

    Несмотря на усилия Emotet, сейчас активность «народного мстителя» продолжается, и он по-прежнему заменяет полезные нагрузки Emotet файлами GIF, хотя банда Emotet быстрее, чем раньше, обнаруживает случаи саботажа и восстанавливает исходную полезную нагрузку.

    В целом, действия неизвестного лица привели к серьёзному снижению активности Emotet на этой неделе.

    «Поскольку у Ивана [администратора Emotet] сегодня были технические трудности, хэши сильно упали, так что мы не видели особой активности», — написал Рузен в ежедневном отчёте от 23 июля. Он оценивает, что Emotet сейчас работает примерно на четверть своих обычных возможностей, поскольку Иван и остальная команда Emotet всё ещё борются за контроль над своими шеллами.

    В настоящее время личность мстителя неизвестна. На форумах высказывают теории, что это либо член конкурирующей хакерской группы, либо представитель индустрии кибербезопасности.

    См. также:

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 17

      +17
      Странно, что для того, кто противодействует функционированию ботнета, подобрали столько слов с негативной окраской, словно это сами владельцы ботнета писали.
      • UFO just landed and posted this here
          0

          Ботнет написан на WCT.

          • UFO just landed and posted this here
          +8

          "злоумышленник", "бандит", "народный мститель", "саботаж". Похоже, что по логике автора статьи нужно как раз переживать за благополучие Ивана.

            +2

            Ивану нынче нелегко.

          –1
          Но ведь это не очень-то популярные мемы. Лучше бы сделали Virgin blackhat vs. Chad whitehat.
            0
            Получается, именно недостаточная популярность мемов и вредит ботнету, который, цитирую, сейчас работает примерно на четверть своих обычных возможностей. :)
              0
              Зато это может сделать их популярными. Ну не просто ради «because we can» тролить некоего Ивана?
              +1
              ли включают функцию «Включить редактирование», чтобы разрешить выполнение макросов,
              В офисе эта часть вообще отлично сделана. «Включить редактирование» необходимо даже для того, чтобы скопировать текст из документа. Что, первое время, изрядно выносит мозг, т.к. ворд об этом даже не предупреждает. Просто молча не копирует. Очень безопасно…
                0
                Включение редактирования != разрешению макросов.
                Или я чего-то не знаю?
                  0
                  Т.е. с тем, что копирование из документа считается редактированием вопросов нет?
                  Не знаю, что пишут в доках, но при включении возможности редактирования (т.е. откл «безопасного») ворд предупреждает и о макросах. Хз какая там логика…
                    0
                    Нет, к этому идиотизму с копированием вопросы конечно есть.
                    Но я хочу сказать, что поведение макросов настраивается отдельно и если они вообще выключены или стоит запрос на их включение, то они по идее не должны включаться автоматом при включении редактирования. Дефолтом, насколько я помню, там стоит запрос на включение.
                      0
                      Если честно — хз. Макросами я не пользуюсь и они у меня всегда по дефолту отключены в настройках. Но предупреждение при включении редактирования на эту тему он показывет, т.е. если они включены (как я понимаю) — предполагается что дополнительного разрешения не требуется. Вообще логику m$ порой понят очень сложно…
                +3
                злоумышленник перешёл к использованию GIF-файла

                Почему «злоумышленник»?!
                Добромышленник — он!
                  0

                  увы, согласно законодательству (причём, большинства стран) кража у вора и убийство убийцы — всё равно прествпление

                    +1
                    Так он ничего не украл и не убивал. Он просто подгадил преступнику.

                Only users with full accounts can post comments. Log in, please.