Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года,
https://xakep.ru/2020/07/20/emotet-is-back-2/ с новой спам-кампанией. *Понаблюдав за малварью, ИБ-специалисты
https://xakep.ru/2020/07/22/qakbot-emotet/, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot.
Однако теперь неизвестные доброжелатели успешно саботируют работу ботнета. Начиная с 21 июля 2020 года они подменяют полезные нагрузки Emotet анимированными файлами GIF, эффективно предотвращая заражение жертв. Кто именно стоит за этой акцией, пока неясно, это могут быть как конкурирующие хак-группы, так и неизвестный ИБ-специалист.
Первыми на странную активность обратили внимание исследователи из группы
https://xakep.ru/2020/03/02/cryptolaemus/, которые уже несколько лет внимательно следят за активностью ботнета и стараются ему противодействовать. По их данным, в настоящее время около четверти всех пейлоадов Emotet подменены GIF’ками, что вызвало значительно снижение активности ботнета.
Происходящее напрямую связано с тем, как функционирует Emotet. Так, ботнет рассылает своим потенциальным жертвам спам, содержащий вложения или ссылки, ведущие к вредоносным файлам Office. Если открыть такой файл и разрешить работу макросов, из удаленного источника на машину пользователя будет загружен фактический пейлоад.
Дело в том, что такие полезные нагрузки ботнет размещает преимущественно на взломанных сайтах на базе WordPress, доступ к которым операторы Emotet осуществляют через веб-шеллы. Причем ранее ИБ-эксперты уже обнаруживали, что злоумышленники используют для этих целей решения с открытым исходным кодом, а также применяют одинаковый пароль для всех веб-шеллов, тем самым подвергая свою инфраструктуру риску.
https://twitter.com/GossiTheDog/stat...20720222097408
Судя по всему, теперь кто-то сумел узнать тот самый пароль, одинаковый для всех веб-шелов, и не преминул этим воспользоваться. Эти «добрые самаритяне» заменяют полезные нагрузки Emotet на взломанных WordPress-сайтах анимированными файлами GIF. За последние три дня неизвестные заменили пейлоады Emotet разными GIF’ками. Файлы они обычно берутся с Imgur или Giphy.
Так, во вторник полезную нагрузку подменяли файлом, связанным с Blink 182.
https://twitter.com/tiketiketikeke/s...90366026088450
Затем неизвестные перешли к использованию изображения с Джеймсом Франко.
https://twitter.com/GossiTheDog/stat...20824134963202
После троллинг достиг своего апогея, и появился хакермен.
https://twitter.com/tiketiketikeke/s...24384063991809
По словам одного из участников Cryptolaemus, Джозефа Русена (Joseph Roosen), операторы Emotet хорошо осведомлены об этой проблеме. Специалист
https://www.zdnet.com/article/a-vigi...ads-with-gifs/, что ботнет вообще отключился в четверг, 23 июля, поскольку хакеры пыталась «отвоевать» свои веб-шеллы у саботажников. Несмотря на их усилия, сегодня неизвестные по-прежнему продолжают менять полезные нагрузки на файлы GIF, хотя операторы Emotet стали восстанавливать исходные пейлоады куда быстрее, чем раньше.
По оценкам Русена, в настоящее время Emotet работает примерно на четверть своей обычной мощности, так как хакеры все еще борются за контроль над веб-шеллами.
https://xakep.ru/2020/07/24/emotet-gif-bombing/
01-10-2025, 08:14 AM
Linear Mode
