Emotet یا اموتت چیست؟

اموتت (Emotet) و تاریخچه آن را بیشتر بشناسید. بدانید که اموتت چه کسانی را هدف قرار می دهد و چگونه گسترش می یابد؟

اموتت  (Emotet) را بیشتر بشناسید

اولین بار توسط محققان امنیتی در سال 2014 شناسایی شد. Emotet در ابتدا به عنوان یک بد افزار بانکی طراحی شده بود که سعی داشت به رایانه شما نفوذ کند و اطلاعات حساس و خصوصی را بدزدد. نسخه‌های بعدی نرم‌افزار شاهد اضافه شدن سرویس‌های ارسال هرزنامه و بدافزار – از جمله سایر تروجان‌ های بانکی بود.

Emotet از عملکردی استفاده می کند که به نرم افزار کمک می کند تا از شناسایی برخی محصولات ضد بدافزار فرار کند. همچنین از قابلیت‌های کرم مانند برای کمک به انتشار به سایر رایانه‌های متصل استفاده می‌کند. این به توزیع بدافزار کمک می کند. این عملکرد باعث شده است که وزارت امنیت داخلی آمریکا به این نتیجه برسد که Emotet یکی از پرهزینه ترین و مخرب ترین بدافزارها است که بر بخش های دولتی و خصوصی، افراد و سازمان ها تأثیر می گذارد و برای هر حادثه بیش از 1 میلیون دلار هزینه دارد.

• مقاله مرتبط: آشنایی با انواع حملات سایبری + نحوه مقابله [54 حمله]

اموتت (Emotet) چیست؟

اموتت یک تروجان است که عمدتاً از طریق ایمیل های اسپم (malspam) منتشر می شود. عفونت ممکن است از طریق اسکریپت مخرب، فایل‌های سند فعال شده با ماکرو یا پیوند مخرب وارد شود. ایمیل‌های Emotet ممکن است حاوی نام تجاری آشنا باشند که شبیه یک ایمیل قانونی طراحی شده است. این ممکن است با استفاده از زبان وسوسه‌انگیز در مورد «فاکتور شما»، «جزئیات پرداخت» یا احتمالاً یک محموله آتی از شرکت‌های معروف بسته‌بندی، کاربران را متقاعد کند که روی فایل‌های مخرب کلیک کنند.

Emotet چند بار تکرار را پشت سر گذاشته است. نسخه های اولیه به عنوان یک فایل جاوا اسکریپت مخرب وارد شدند. نسخه‌های بعدی برای استفاده از اسناد ماکرو فعال برای بازیابی بار ویروس از سرور های فرمان و کنترل (C&C) که توسط مهاجمان اجرا می‌شوند، تکامل یافتند.

Emotet از تعدادی ترفند برای جلوگیری از شناسایی و تجزیه و تحلیل استفاده می کند. قابل ذکر است که Emotet می داند که آیا در داخل یک ماشین مجازی (VM) در حال اجرا است یا خیر و در صورت شناسایی یک محیط sandbox که ابزاری است که محققان امنیت سایبری برای مشاهده بدافزارها در یک فضای امن و کنترل شده استفاده می کنند، غیرفعال می شود.

Emotet همچنین از سرورهای C&C برای دریافت بروز رسانی استفاده می کند. این به همان شیوه‌ای عمل می کند که سیستم عامل در رایانه شخصی شما به روز می شود و می تواند یکپارچه و بدون هیچ علامت ظاهری اتفاق بیفتد. این به مهاجمان اجازه می‌دهد تا نسخه‌های به‌روز شده نرم‌افزار را نصب کنند، بدافزارهای اضافی مانند سایر تروجان‌های بانکی را نصب کنند، یا به عنوان محل تخلیه اطلاعات دزدیده شده مانند اعتبار مالی، نام‌های کاربری و رمز عبور و آدرس‌های ایمیل عمل کنند.

اموتت (Emotet) چگونه گسترش می یابد؟

روش توزیع اولیه برای Emotet از طریق malspam است. Emotet لیست مخاطبین شما را جستجو می کند و خود را برای دوستان، خانواده، همکاران و مشتریان شما ارسال می کند. از آنجایی که این ایمیل‌ها از حساب ایمیل ربوده شده شما می‌آیند، ایمیل‌ها کمتر شبیه هرزنامه به نظر می‌رسند و گیرندگان که احساس امنیت می‌کنند، تمایل بیشتری به کلیک بر روی URL‌های بد و دانلود فایل‌های آلوده دارند.

اگر یک شبکه متصل وجود داشته باشد، Emotet با استفاده از لیستی از رمزهای عبور رایج، راه خود را به سایر سیستم‌های متصل در یک حمله brute-force حدس می‌زند. اگر رمز عبور سرور بسیار مهم منابع انسانی صرفاً «رمز عبور» باشد، احتمالاً Emotet راه خود را در آنجا پیدا خواهد کرد.

محققان در ابتدا فکر کردند که Emotet با استفاده از آسیب‌ پذیری‌ های EternalBlue/DoublePulsar که مسئول حملات WannaCry و NotPetya بودند گسترش یافت. اکنون می دانیم که اینطور نیست.

آنچه محققان را به این نتیجه رساند این واقعیت بود که TrickBot، یک تروجان که اغلب توسط Emotet منتشر می شود، از سوء استفاده EternalBlue برای گسترش خود در یک شبکه معین استفاده می کند. این TrickBot بود و نه Emotet که از آسیب‌پذیری‌های EternalBlue/DoublePulsar استفاده می‌کرد.

چه کسانی را هدف قرار می دهد؟

تا به امروز، به افراد، شرکت‌ها و نهادهای دولتی در سراسر ایالات متحده و اروپا ضربه زده است و لاگین‌های بانکی، داده‌های مالی و حتی کیف پول بیت‌کوین را به سرقت برده است.

یک حمله قابل توجه Emotet به شهر آلن تاون، PA، برای پاکسازی به کمک مستقیم تیم پاسخگویی به حوادث مایکروسافت نیاز داشت و طبق گزارش ها، هزینه ای بالغ بر 1 میلیون دلار برای رفع آن برای شهر هزینه داشت.

اکنون که از Emotet برای دانلود و ارائه سایر تروجان های بانکی استفاده می شود، فهرست اهداف به طور بالقوه حتی گسترده تر است. نسخه های اولیه Emotet برای حمله به مشتریان بانکی در آلمان استفاده می شد. نسخه‌های بعدی Emotet سازمان‌هایی را در کانادا، بریتانیا و ایالات متحده هدف قرار دادند.

تا ژانویه 2015، نسخه جدیدی از Emotet در صحنه ظاهر شد. نسخه سه شامل تغییرات پنهانی بود که برای نگه داشتن بدافزار در زیر رادار طراحی شده بود و اهداف بانکی جدید سوئیس را اضافه کرد.

به زودی نسخه های جدید تروجان Emotet شامل قابلیت نصب بدافزارهای دیگر بر روی ماشین های آلوده خواهد بود. این بدافزار ممکن است شامل تروجان ها و باج افزار های دیگری نیز باشد. به عنوان مثال، حمله جولای 2019 به لیک سیتی، فلوریدا، 460,000 دلار برای پرداخت باج‌افزار برای این شهر هزینه داشت، طبق گفته Gizmodo. تجزیه و تحلیل حمله نشان داد که Emotet تنها به عنوان ناقل عفونت اولیه عمل می کرد. زمانی که Emotet آلوده شد، یک تروجان بانکی دیگر به نام TrickBot و باج افزار Ryuk را دانلود کرد.

پس از اینکه در بیشتر سال 2019 نسبتاً ساکت بود، با قدرت بازگشت. در سپتامبر 2019، Malwarebytes Labs در مورد یک کمپین هرزنامه مبتنی بر بات‌نت گزارش داد که قربانیان آلمانی، لهستانی، ایتالیایی و انگلیسی را با عبارات زیرکانه‌ای مانند «مشاوره حواله پرداخت» و «فاکتور معوقه» هدف قرار می‌داد. باز کردن سند مایکروسافت ورد آلوده یک ماکرو را آغاز می کند که به نوبه خود Emotet را از سایت های وردپرس در معرض خطر دانلود می کند.

از خود محافظت کنید

با تهییه دوره آموزش امنیت سایبری می توانید کسب و کار اینترنتی خود را از تهدیدات اینترنتی مصون نگه دارید. به کمک بیشتری نیاز دارید؟ نگاهی به خدمات امنیت سایت ما بیاندازید.