Pozvánka na vánoční večírek pořádaný botnetem Emotet
18.12.2019
Pozvánka na vánoční večírek pořádaný botnetem Emotet

​„Od září letošního roku evidujeme zvýšenou aktivitu botnetu Emotet“ stojí v upozornění CERT týmu Národního centra kybernetické bezpečnosti. Tento botnet opravdu v poslední době sílí, o čemž jsme psali v nedávném článku.

Emotet je často využíván k šíření dalších typů malwaru – ransomwaru Ryuk a bankovního trojanu TrickBot. Vektorem útoku nejčastěji bývá phishingový email, na konci října byla obsahem phishingového mailu pozvánka na halloweenskou párty, aktuálně se však jedná o pozvánku na vánoční párty. Uživateli dojde do emailu pozvánka na vánoční večírek s dvěma přílohami, které mají obsahovat program večírku a jídelní lístek. Ve skutečnosti se však jedná o dva .doc dokumenty, do kterých bylo vloženo škodlivé makro, které po svém spuštění zajistí stažení dalšího malwaru. V aktuální kampani se jedná o zmíněný bankovní trojan TrickBot. Jak takový email vypadá zveřejnila na svém twitterovém účtu společnost Cofense Labs, která tento email zaznamenala a analyzovala.

Uživatelé se znalostí základů informační bezpečnosti by neměli tomuto phishingovému emailu naletět. Je poslán z neznámé emailové adresy, psaný v angličtině a požaduje otevření přílohy a povolení makro skriptů v programu Microsoft Word. To vše by mělo být dostatečně varovné. Zatím jsme nezaznamenali stejnou kampaň v českém jazyce. Přesto doporučujeme informovat uživatele a možných phishingových emailech a znovu je proškolit v oblasti bezpečnosti.

Efektivní ochranou je zablokování makro skriptů centrálně pomocí Group Policy. V případě, že vaše organizace makro skripty nepoužívá, je to ideální řešení. V opačném případě lze využít další možnosti, zablokovat všechny nepodepsané makro skripty nebo alespoň zablokovat všechny makro skripty v dokumentech pocházejících z internetu.

Stejně tak by měl antivirus na koncové stanici zablokovat případné spuštění makra nebo komunikaci na C&C servery. Samozřejmostí je používání aktualizovaného antivirového řešení, které podporuje skenování Office dokumentů a skriptů v nich obsažených.

Seznam zdrojů:

https://www.antivirus.cz/Blog/Stranky/kryptominery-na-ustupu-naopak-botnet-emotet-dale-sili.aspx
https://www.antivirus.cz/Blog/Stranky/kyberzlocinci-oprasuji-stare-triky-a-hrozby-znovu-se-vraci-bankovni-trojan-trickbot.aspx
https://www.infosecurity-magazine.com/news/emotet-spammers-send-christmas/
https://www.bleepingcomputer.com/news/security/emotet-trojan-is-inviting-you-to-a-malicious-christmas-party/
https://twitter.com/CofenseLabs/status/1205567226767654913

 

David Pecl, AEC David Pecl
Senior Security Specialist
AEC a.s.