Според Ars technica, цитиран от Vesti,bg ботнетът Emotet отново използва мрежата си от завладени устройства, за разпространение на спам, вредоносен софуер и хакерски атаки. Emotet беше спрял работа за около 4 месеца. Генерираните спам съобщения, се опитват да измамят потребителите като се представят за хора, които те познават. Системата прави опит да копира име и имейл адрес, които са в контактите на мишената. След това изпраща имейл, който изглежда като отговор на вече започнат разговор. В имейла има текстов документ, който е с голям размер - над 500 МВ, за да заобиколи вградените имейл защити за антивирусна проверка. В него се съдържа и зловреден код под формата на макрос (макро вирус). Тъй като MS Office деактивира макросите по подразбиране, файлът често има предложение към потребителя да активира макроса, за да може всичко да работи както трябва и документът да се визуализира. Ако потребителят се съгласи, макросът изтегля допълнителен файл от сайт, който е бил компрометиран предварително. В него се съдържа вредоносен софтуер, който събира данни от устройството на мишената, включително контакти, пароли и други лични данни. Също така устройството бива добавяно към ботнета, за да разпространява спам. Може да използва и наличните имейли на жертвата, за да изпраща "отговори" от нейно име до останалите в разговорите и да ги мами по същия начин.

 

 

Ще припомним, че Emotet е вредоносен софтуер и съответния му ботнет. Също е известен под името Heodo. Този вредоносен софтуер е открит за първи път през 2014 г., като първоначално е засегнал банки в Германия и Австрия. Разглежда се като един от преобладаващите кибер заплахи през десетилетието. Първите версии на вредоносния софтуер Emotet са функционирали като банков троянец, предзнаначен за кражба на банкова информация.

През 2016 – 2017 г. операторите на ботнета и съответстващия му вредоносен софтуер, известни като Mealybug, са ъпдейтнали троянеца и са го реконфигурирали да работи предимно като “loader, вид зловреден софтуер, който придобива достъп до системата, след което предоставя достъп на операторите си възможност да доунлодват допълнителен изпълним код върху превзетата система. Това може да бъде вредоносен софтуер на Emotet или на други кибер престъпни групи. Известно е, че авторите на Emotet, чрез вредоносния софтуер са създали ботнет от заразени компютри, за който продават достъп според модела Infrastructure-as-a-Service (IaaS), известен в киберсигурност общността като MaaS (Malware-as-a-Service), Cybercrime-as-a-Service (CaaS), или Crimeware. Те предоставят достъп и ботнет мрежата си и на оператори, разпространяващи ransomware, като например Ryuk киберпрестъпната група.

От септември 2019 г. Emotet функционира на три различни ботнети наречени Epoch 1, Epoch 2, и Epoch 3.

От юли 2020 г. кампаниите на Emotet са с глобално разпространение, заразяващи жертвите си с вредоносните софтуери TrickBot и Qbot, които са използвани да се разпространяват в компютърните мрежи и да крадат банкова информация. Някои от спам съобщенията съдържат документи с имена “form.doc” или “invoice.doc”. Вредоносния документ стартира PowerShell скрипт, който даунлоудва от заразени уебсайтове и потребителски компютри.

От ноември 2020 г., Emotet използва паркирани домейни, за да дистрибутира изпълним вредоносен код.

През януари 2021 г. международна акция, координирана от Европол и Евроджъст позволява на разследващите да поемат контрол и да нарушат функционирането на инфеаструктурата на Emotet. През това време са направени и арести.

От 14 ноември 2021 г., нови Emotet се доставят с вредоносния софтуер Trickbot до компютри, които са били заразени с Trickbot и започват да изпращат вредоносни спам имейл съобщения с Word и Excel файлове, натоварени с макроси.

От 3 ноември 2022 г. нов вредоносен софтуер свързан с ботнета Emotet  се появява, в Excel файлове, атачнати в имейл съобщения.

 

Използвани източници:

https://www.vesti.bg/tehnologii/botnet-mami-kato-se-predstavia-za-realni-hora-6163491

https://en.wikipedia.org/wiki/Emotet

Що ли се чудя :):):). Интернет е фейсбук, ако нещо го няма там, то не съществува.
Нали така?

Да, наистина за чист текстов файл е твърде голям. Но в него се съдържа и зловредния код. Според информация от следния сайт се касае за за zip-нат Word документ, с товар от вредоносния код:
https://www.secion/en/blog/blog-details/dangerous-emotet-botnet-resumes-email-activity
Като се търси в Google по ключови думи "emotet 500 MB" може да се намери още информация по въпроса.