Неизвестный мститель саботирует работу ботнета Emotet, заменяя вредоносную нагрузку анимированными GIF'ками
Кадр одной из гифок, которые теперь загружаются вместо стандартных зловредов Emotet
Неизвестный хакер-мститель саботирует работу крупного ботнета Emotet, заменяя полезную нагрузку анимированными GIF-файлами — и таким образом эффективно предотвращая заражение жертв, пишет ZDNet.
На сегодняшний день Emotet считается самым крупным и опасным ботнетом в Сети. Он молчал в течение пяти месяцев, но возобновил активность на прошлой неделе. Но лёгкой жизни бандитам никто не обещал.
Саботаж системы начался 21 июля, а через несколько дней превратился из простой шутки в серьёзную проблему, которая затронула значительную часть операций ботнета.
Активность Emotet отслеживает группа из более 20 добропорядочных хакеров Cryptolaemus. Ежедневные обновления публикуются на официальном сайте и в твиттере.
По их данным, некий «народный мститель» теперь подменяет около 25% полезных нагрузок Emotet.
Как ему это удаётся?
Emotet — механизм со сложной структурой, которая состоит из нескольких компонентов. Для пополнения армии ботов сначала рассылаются миллионы спамерских писем, которые содержат либо вредоносный документ Office, либо ссылку на вредоносный файл, который пользователям предлагается загрузить на свои компьютеры.
Когда пользователи открывают один из этих файлов и нажимают ссылки внутри файла или включают функцию «Включить редактирование», чтобы разрешить выполнение макросов, автоматизированные скрипты загружают вредоносную программу Emotet и различные её компоненты.
В качестве хостинга для поставки этих файлов используются взломанные сайты WordPress, где группировка Emotet временно хранит компоненты своих вредоносных программ (или «полезную нагрузку» на жаргоне инфобеза). Эти временные хранилища также являются ахиллесовой пятой Emotet.
Группа Emotet контролирует взломанные сайты через веб-шеллы, установленные на взломанных серверах. Но хакеры используют не самые лучшие шеллы. Ещё в прошлом году специалисты обратили внимание, что Emotet использует известные опенсорсные скрипты с Github и одинаковый пароль для всех шеллов, подвергая свою инфраструктуру лёгким атакам, если подобрать пароль.
Судя по всему, кто-то подобрал этот пароль. И со вторника на этой неделе он начал веселиться.
Неизвестный «злоумышленник» заменил полезные нагрузки Emotet на некоторых взломанных сайтах WordPress анимированными GIF-файлами. Это означает, что когда мишень Emotet открывает вредоносный файл Office, вредоносная программа Emotet не скачивается и не выполняется в его системе, а вместо этого он получает какой-нибудь популярный мем.
Первой появилась гифка WTF группы Blink 182.
На второй день злоумышленник перешёл к использованию GIF-файла Джеймса Франко.
После этого специалисты наблюдали гифку Hackerman.
GIF-файлы загружаются в случайном порядке либо c Imgur, либо с GIF-хостинга Giphy.
Банда Emotet в курсе проблемы. По словам члена группы Cryptolaemus Джозефа Рузена, в четверг ботнет отключили на техническое обслуживание: судя по всему, хакеры пытались отключить доступ злоумышленника к своей сети шеллов.
Несмотря на усилия Emotet, сейчас активность «народного мстителя» продолжается, и он по-прежнему заменяет полезные нагрузки Emotet файлами GIF, хотя банда Emotet быстрее, чем раньше, обнаруживает случаи саботажа и восстанавливает исходную полезную нагрузку.
В целом, действия неизвестного лица привели к серьёзному снижению активности Emotet на этой неделе.
«Поскольку у Ивана [администратора Emotet] сегодня были технические трудности, хэши сильно упали, так что мы не видели особой активности», — написал Рузен в ежедневном отчёте от 23 июля. Он оценивает, что Emotet сейчас работает примерно на четверть своих обычных возможностей, поскольку Иван и остальная команда Emotet всё ещё борются за контроль над своими шеллами.
В настоящее время личность мстителя неизвестна. На форумах высказывают теории, что это либо член конкурирующей хакерской группы, либо представитель индустрии кибербезопасности.