Emotetは復活しましたか? 悪名高いマルウェアがクリスマスに戻ってきたようです.
マルウェアが法執行機関によって解体されてから数か月後, セキュリティ研究者のLucaEbachは、野生でのEmotetの使用の兆候を見ています. 彼の報告は次のことを示しています TrickBot 現在、TrickBotが以前に侵害したシステムにEmotetの新しいバリアントをデプロイするために利用されています.
Emotetが生まれ変わりました?
"日曜日に, 11月 14, 周りで 9:26UTCの午後、いくつかのTrickbotトラッカーで、ボットがDLLをシステムにダウンロードしようとしたことを確認しました。. 内部処理によると, これらのDLLはEmotetとして識別されています,」とエバッハは言った.
さらなる分析は、検出されたサンプルが実際に「悪名高いEmotetの生まれ変わり」であることを「高い信頼性」で確認するのに役立ちました。
以前のEmotetサンプルとどのような類似点がありますか? コードの難読化に制御フローのフラット化を多用することは、古いEmotetバリアントでは一般的でした, そしてそれはこれにも存在します. 研究者は、難読化スタイルの類似性を説明するために2つの任意のコードスニペットを提供しました.
「有名なダックタイピングによると, これまでのところ結論: Emotetのようなにおい, Emotetのように見えます, Emotetのように動作します–Emotetのようです,」研究者 結論.
EmoCrash: Emotetキルスイッチ
8月に 2020, セキュリティ研究者はエクスプロイトを作成し、続いてキルスイッチを作成しました (吹き替えEmoCrash) Emotetマルウェアの拡散を防ぐため. Emotetは、他のマルウェアをダウンロードしてファイルを盗むように脅威アクターによってプログラムされる可能性のあるオールインワンマルウェアとして説明されています, または、侵害されたシステムをボットネットネットワークにリクルートします. 少なくとも以来知られている 2014, このマルウェアは、個人の標的と企業および政府のネットワークの両方に対するさまざまな攻撃に使用されています。.
新しいマルウェアローダーも登場
10月中 2021, Cisco Talosのセキュリティ研究者が、新しいマルウェアローダーを発見しました, SquirrelWaffle, Emotetを置き換える可能性があります. 「組織はこの脅威に注意する必要があります, 近い将来、脅威の状況全体で存続する可能性が高いため,」研究者は言った. Emotetの運用が法執行機関によって中断されたため, セキュリティ研究者は、新しいプレーヤーが登場するのを待っていました.
しかし今では、Emotetがクリスマスに間に合うようにカムバックしているというほぼ確実な証拠があります. SquirrelWaffleと 他の新しいローダー 今後のフィッシングキャンペーンでアップグレードされたEmotetと競合する? リマインダーとして, の 2019, 野生でフィッシングキャンペーンが検出されました, Emotetレースでホームユーザーをターゲットにする “クリスマスパーティー” メニュー.