Jena (ots) – 復帰以来、Emotet はいくつかのスパム キャンペーンに登場しています。 ボットネットの背後にいるハッカーのグループである Mealybug は、多くの新しいモジュールを開発し、既存のモジュールを改訂しました。 Emotet の背後にいる首謀者たちは、2 年前の削除から多くのことを学び、ボットネットの発見を防ぐために多くの時間を費やしました。 最新の作戦では、イタリア、スペイン、日本、メキシコ、南アフリカの標的が攻撃された。 2023年4月以降、Emotetの活動は停止されています。 ESETの研究者らは、ハッカーが新たな攻撃ベクトルを探しているのではないかと疑っている。 WeLiveSecurityに関する最新の分析の中で、彼らは復帰後に専門家が判断したことと、事態がどのように続くかを説明しています。

「Emotet はスパムメールを介して拡散します。このマルウェアは、侵害されたコンピュータから機密情報を盗み、サードパーティのマルウェアを転送する可能性があります。Emotet のオペレータは、ターゲットにあまりこだわりません。彼らは、企業や大規模な個人システムや IT システムにマルウェアをインストールします。 」と、分析に協力した ESET 研究者の Jakub Kaloc 氏は説明します。

Emotet は新たな攻撃ベクトルを見つける必要がありました

2021 年後半から 2022 年半ばにかけて、Emotet は主に Microsoft Word および Excel ドキュメントの VBA マクロを通じて広がりました。 2022 年 7 月、Microsoft は、抽出されたドキュメント内の VBA マクロを無効にすることで、感染の拡大手段として悪意のあるドキュメントを含むフィッシングメールを使用していた Emotet や Qbot などのすべてのマルウェア ファミリに対する方針を変更しました。

「Emotet の主な攻撃ベクトルをシャットダウンすることで、その運用者はターゲットを侵害する新たな方法を模索するようになりました。 VBA マクロと同じくらい効果的な新しい攻撃ベクトルを見つけます。 2023 年に、彼らは 3 つの異なるスパム キャンペーンを実行し、それぞれがわずかに異なる侵入経路と異なるソーシャル エンジニアリング手法をテストしました」と Kaloc 氏は説明します。 「しかし、攻撃範囲の減少とアプローチの絶え間ない変更は、結果への不満を示している可能性があります。」 その後、Emotet はおとりを Microsoft OneNote に統合しました。 この操作は悪意のあるコンテンツにつながる可能性があるという開封時の警告にもかかわらず、ユーザーはそれをクリックしました。

犯罪者は Emotet の開発を続けている

再登場後、Emotet はいくつかのアップデートを受けました。 最も注目すべき特徴は、ボットネットが暗号化スキームを変更し、モジュールを保護するためにいくつかの新しい難読化を実装したことです。 Emotet が復活して以来、Emotet の運営者は、ボットネットが監視および追跡されるのを防ぐためにあらゆる努力を払ってきました。 さらに、収益性を維持するために、いくつかの新しいモジュールを実装し、既存のモジュールを改善しました。

Emotet はスパムメールを通じて配布されます。 犯罪者が特別なテクニックを使って電子メール内のチャット履歴を乗っ取ることに成功しているため、人々はこれらのメッセージを信頼することがよくあります。 削除に先立って、Emotet は Outlook Contact Stealer および Outlook Email Stealer と呼ばれるモジュールを使用しており、これらは Outlook から電子メールと連絡先情報を盗むことができました。 ただし、誰もが Outlook を使用しているわけではないため、Emotet は復帰後、無料の代替電子メール アプリである Thunderbird にも注力しました。 また、Google Chromeブラウザに保存されているクレジットカード情報を盗むGoogle Chrome Credit Card Stealerアドオンの利用も開始した。

ESET テレメトリと研究者の印象によると、Emotet ボットネットは 2023 年 4 月初旬から沈黙を保っています。これはおそらく、新たな効果的な攻撃ベクトルが発見されたためと考えられます。 2022年1月以降現在までにESETが検出した最も多くの攻撃の対象となったのは、日本(43%)、イタリア(13%)、スペイン(5%)、メキシコ(5%)、南アフリカ(4%)でした。

Emotetについて

Emotet は、2014 年から活動しているマルウェア ファミリで、Mealybug または TA542 として知られるサイバー犯罪グループによって悪用されています。 Emotet は当初、バンキング型トロイの木馬として機能していましたが、後にボットネットに進化し、世界最大の脅威の 1 つになりました。 2021 年 1 月、ユーロポールとユーロジャストが調整する 8 か国の国際協力の一環として、Emotet は限定的な範囲で閉鎖されました。 2021 年 11 月に Emotet が復活し、再びいくつかのスパム キャンペーンを開始しました。 2023 年 4 月、マルウェアの活動は突然終了しました。

完全な分析は WeLiveSecurity で入手できます: https://www.welivesecurity.com/deutsch/2023/07/06/wie-hlts-eigentlich-um-emotet/

プレス連絡先:

ESET ドイツ GmbH

Christian Lueg コミュニケーションおよび PR マネージャー DACH +49 (0)3641 3114-269 christian.lueg@eset.de

Michael Klatte 広報マネージャー DACH +49 (0)3641 3114-257 Michael.klatte@eset.de

ESETに従ってください:
http://www.ESET.de

ESET Deutschland GmbH、Spitzweidenweg 32、07743 イエナ、ドイツ

元のコンテンツ: ESET Deutschland GmbH、ニュース aktuell によって送信

プレスポータルニュースルーム: 新しいアップデート GmbH