Ένας άγνωστος hacker-τιμωρός κάνει σαμποτάζ στο πρόσφατα ανανεωμένο Emotet botnet, αντικαθιστώντας τα Emotet payloads με κινούμενα GIFs και προστατεύοντας τα θύματα από τη μόλυνση.

Το σαμποτάζ ξεκίνησε στις 21 Ιουλίου και έχει εξελιχθεί από ένα απλό αστείο σε ένα σοβαρό ζήτημα που πλήττει μεγάλο μέρος της επιχείρησης Emotet.

Τι συμβαίνει πραγματικά με το Emotet botnet και πώς το στόχευσε ο hacker-τιμωρός;

Το Emotet botnet λειτουργεί μέσω spam emails, τα οποία υποτίθεται ότι περιέχουν μηνύματα σχετικά με επιχειρήσεις. Αυτά τα emails περιέχουν είτε ένα κακόβουλο έγγραφο του Office είτε έναν σύνδεσμο προς ένα κακόβουλο αρχείο του Office, το οποίο οι χρήστες καλούνται να το κατεβάσουν στον υπολογιστή τους.

Όταν οι χρήστες ανοίγουν ένα από αυτά τα αρχεία και πατούν συνδέσμους μέσα στο αρχείο ή ενεργοποιούν τη δυνατότητα “Ενεργοποίηση επεξεργασίας”, για να επιτρέψουν την εκτέλεση μακροεντολών (αυτοματοποιημένα scripts), τα αυτοματοποιημένα scripts κατεβάζουν το Emotet malware και διάφορα στοιχεία του από το Διαδίκτυο.

Με τον όρο “Διαδίκτυο” εννοούμε στην πραγματικότητα “παραβιασμένους ιστότοπους WordPress“, όπου η συμμορία Emotet αποθηκεύει προσωρινά τα στοιχεία του κακόβουλου λογισμικού της ή αλλιώς τα κακόβουλα payloads.

Αυτές οι προσωρινές τοποθεσίες φιλοξενίας είναι, επίσης, η Αχίλλειος πτέρνα του Emotet botnet.

Η συμμορία Emotet ελέγχει αυτούς τους παραβιασμένους ιστότοπους μέσω web shells, ενός τύπου κακόβουλου λογισμικού εγκατεστημένου σε servers που έχουν παραβιαστεί για να επιτρέπουν στους εισβολείς να χειρίζονται τον server.

Αλλά η συμμορία Emotet δεν χρησιμοποιεί τα καλύτερα web shells που διατίθενται στην αγορά. Τις περισσότερες φορές χρησιμοποιεί open-source scripts και έχει τον ίδιο κωδικό πρόσβασης για όλα τα web shells της, εκθέτοντας την υποδομή της σε εύκολες παραβιάσεις, εάν κάποιος μαντέψει τον κωδικό πρόσβασης του web shell. Αυτή την αδυναμία εκμεταλλεύτηκε και ο hacker-τιμωρός.

Hacker-τιμωρός σαμποτάρει το Emotet botnet

Το Emotet, που θεωρείται το πιο επικίνδυνο malware botnet, είχε πέσει σε αδράνεια για περισσότερο από πέντε μήνες, αλλά εμφανίστηκε ξανά την προηγούμενη εβδομάδα.

Ωστόσο, ένας hacker-τιμωρός φαίνεται να ανακάλυψε τον κοινό κωδικό πρόσβασης των web shell και αποφάσισε να σαμποτάρει την επιστροφή του Emotet.

Ο άγνωστος εισβολέας αντικαθιστά τα Emotet payloads σε μερικούς από τους παραβιασμένους ιστότοπους του WordPress με κινούμενα GIFs.

Αυτό σημαίνει ότι όταν τα θύματα του Emotet ανοίγουν τα κακόβουλα αρχεία του Office, δεν μολύνονται καθώς το Emotet δεν κατεβαίνει και δεν εκτελείται στα συστήματά τους.

Τις τελευταίες ημέρες, ο εισβολέας έχει αντικαταστήσει τα Emotet payloads με πολλά δημοφιλή GIFs.

Το πρώτο, που εντοπίστηκε την Τρίτη, είναι αυτό το Blink 182 “WTF” GIF.

Τη δεύτερη μέρα, χρησιμοποιήθηκε το GIF του James Franco.

Μετά από αυτό, είχαμε το Hackerman GIF.

Τα GIFs λαμβάνονται συνήθως είτε από το Imgur είτε από το Giphy, δύο GIF-hosting υπηρεσίες.

Emotet botnet: Επηρεάζεται μεγάλο μέρος της κακόβουλης επιχείρησης

Περίπου το ένα τέταρτο όλων των καθημερινών payload links του Emotet αντικαθίστανται με GIFs, προκαλώντας σοβαρές απώλειες στην συμμορία Emotet.

Η Emotet συμμορία γνωρίζει τι γίνεται και απ’ ότι φαίνεται σταμάτησε τη λειτουργία του botnet την Πέμπτη, σε μια προσπάθεια να απομακρύνει τον επιτιθέμενο από το web shell δίκτυό της.

Σε κάποιες περιπτώσεις, οι hackers κατάφεραν να αντικαταστήσουν ξανά το GIF με το κακόβουλο payload.

Ο hacker-τιμωρός κατάφερε να προκαλέσει σοβαρή ζημιά στο Emotet την προηγούμενη εβδομάδα.

Οι ερευνητές ασφαλείας θεωρούν ότι η Emotet συμμορία προσπαθεί ακόμα να αποκτήσει τον έλεγχο των web shells της.

Επί του παρόντος, η ταυτότητα του hacker-τιμωρού είναι άγνωστη. Κάποιες θεωρίες λένε ότι πρόκειται για μια αντίπαλη malware συμμορία ή για κάποιο μέλος της βιομηχανίας ασφάλειας στον κυβερνοχώρο.