Emotet
je napredni, modularni bankarski trojanac, čija je primarna funkcija
preuzimanje ili ubacivanje drugih bankarskih trojanca u korisničke sisteme.
Emotet je polimorfni bankarski trojanac (ima moć "moć poprimanja više oblika") što mu
omogućava da izbjegne tipične anti-virusne detekcije. Koristi nekoliko metoda
samoodržavanja: modifikacija registri ključeva, sistemskih servisa, koristi Dynamic Link Libraries (DLLs) za unapređenje i
ažuriranje svog programskog koda, kao i detekciju virtualnog okruženja kako bi
prilikom testiranja u istom imitirao lažne indikatore i izbjegao detekciju. Distribucija
Emotet trojanca se vrši kroz kampanje nepoženjene elektronske pošte (spam) sa
posebno pripremljenim prilozima ili linkovima.
Prilikom preuzimanja instalacionog sadržaja,
koristi se taktika za izbjegavanje detekcije. Instalacioni sadržaj ima modul za
anti-analizu koji vrši nekoliko provjera, kako bi bio siguran da Emotet trojanac
neće biti instaliran na uređaj namenjen za analizu malvera i tek onda se
pokreće instalacija.
Kada se Emotet uspješno instalira na korisnički
uređaj, odmah pokušava da se širi kroz lokalni korisničku mrežu i prikuplja
informacije koristeći nekoliko modula:
1. Modul za prikupljanje mrežnih lozinki, kako
bi dobio pristup dijeljenim resursima u lokalnoj mreži.
2. Modul za prikupljanje podataka iz Outlook-a,
preuzimajući imena i adrese elektronske pošte iz imenika žrtve za nove napade.
3. Modul za prikupljanje lozinki iz internet
pretraživača kojim može preuzeti sve snimljene lozinke u pretraživačima Internet
Explorer, Mozilla Firefox, Google Chrome, Safari i Opera.
4. Modul za prikupljanje lozinki elektronske pošte za Microsoft Outlook, Windows Mail, Mozilla Thunderbird,
Hotmail, Yahoo! Mail i Gmail.
5. Modul za kredencijale se sastoji iz dva
dijela: Prvi dio traži mrežne resurse koji imaju dozvolu upisa (writable share)
preko SMB protokola, dok drugi dio pokušava da provali u korisničke naloge, uključujući
i administratorski nalog.
Kako bi sakrio svoje prisustvo na inficiranom
uređaju, Emotet ubacuje kod u explorer.exe i druge procese i tako izbjegava
detekciju. Pored navedenih mogućnosti prikupljanja podataka, Emotet će još
prikupiti naziv sistema, lokaciju i verziju operativnog sistema. Kada se
uspostavi uspješna veza sa kontrolnim centrom, Emotet prosleđuje prikupljene informacije,
dobija nova podešavanja, preuzima i pokreće instalacije drugih malvera i dobija
nove instrukcije. Koliko je uspješan, govori da je do sada otkriveno
3,6 miliona infekcija u 2018. godini, mada se sumnja da je broj inficiranih
uređaja veći zbog otežane detekcije.
KAKO SE ZAŠTITI:
1. Biti oprezan sa elektronskom poštom –
prilozima u elektronskoj pošti i linkovima, posebno od nepoznatih pošiljaoca.
2. Koristiti provjereno anti-virusno rješenje.
3. Ažurirati operativni sistem.
4. Ažurirati aplikacije isključivo sa stranica
proizvođača softvera.
5. Edukacija korisnika o nepoželjnoj
elektronskoj pošti i socijalnom inžinjeringu.
6. Ograničiti korisničke privilegije na osnovni
minimum za izvršavanje poslovnih obaveza. Administratorske privilegije isključivo
rezervisati za određene IT korisnike.
7. Koristiti kompleksne lozinke za pristup
uređajima i izbjegavati snimanje istih.
8. Onemogućiti izvršavanje macro-a.
INFEKCIJA UREĐAJA:
Ukoliko utvrdite ili sumnjate da vam je uređaj
zaražen, isključite ga sa mreže (sa kabla ili WiFi-a) i ugasite uređaj. Nakon
toga kontaktirajte najbliži servis i informišite se o narednom koraku.
