Trojan Emotet atakuje polskie firmy. Możesz być następną ofiarą

Polskie firmy są atakowane przez bardzo groźnego trojana Emotet. Trudny do wykrycia złośliwy program podłącza zainfekowany komputer do botnetu – sieci komputerów-zombie, które wykonują polecenia wydane przez cyberprzestępców. Może to być rozsyłanie szkodliwych wiadomości, szyfrowanie dysku i żądanie okupu za dane (ransomware), wykradanie informacji czy instalowanie trojanów bankowych.

Emotet skutecznie zaatakował między innymi PKO i mBank.

Atak zaczyna się od e-maila, który u wielu osób nie budzi podejrzeń. Autorzy Emoteta doskonale kamuflują szkodliwe wiadomości. E-maile wyglądają jak odpowiedź na wcześniejszą korespondencję, zawierają nawet cytaty z wysłanych wcześniej wiadomości. Cyberprzestępcy zadbali nawet o sygnaturkę rzekomego nadawcy.

W tym przypadku e-mail do złudzenia przypomina korespondencję z działem HR. Został wysłany do wszystkich osób, które odpowiedziały w tym wątku. Wiadomość nie została oznaczona jako niebezpieczna przez żaden z filtrów antyspamowych po drodze.

Trojan infekujący komputery znajduje się w załączonym dokumencie PLIK_637103401_22475224988.doc (nazwy mogą się zmieniać). Po otwarciu go w Wordzie zostaniesz poproszony o uruchomienie makra, które ściągnie trojana i zainfekuje komputer. Nie rób tego!

Dokument jest kompatybilny z pakietem Office 97 i wszystkimi nowszymi, aż do Office 365. Nawet jeśli korzystasz z programu antywirusowego, są małe szanse, że zauważysz atak.

Emotet wciąż nie jest prawidłowo wykrywany przez wiele programów zabezpieczających. Podczas badania zagrożenia dokument ze szkodliwym makrem został zablokowany przez darmowy program Avast Free Antivirus, który rozpoznał w dokumencie aktywną zawartość (makro) ściągającą plik. Podobnie zareagowało wiele innych programów antywirusowych.

Niestety Windows Defender na tym etapie nie pokazał ostrzeżenia. Przeglądarka Microsoft Edge pozwoliła mi ściągnąć plik, Google Chrome i Firefox przerwały pobieranie. Gmail, czyli poczta Google, także oznacza ten plik jako niebezpieczny.

Pliki potrzebne do zainstalowania trojana są ściągane przez internet i nie są rozpoznawane przez kilka silników antywirusowych, w tym F-Secure, Symantec, Sophos i ESET. Jednak większość programów antywirusowych nie gwarantuje pełnego bezpieczeństwa.

Najlepszą obroną jest tu ostrożność. Koniecznie sprawdzaj adres nadawcy e-maila, nawet jeśli wiadomość została podpisana nazwiskiem osoby, którą znasz. Zadzwoń, by się upewnić, czy ta osoba rzeczywiście wysyłała do ciebie e-maila. Wiadomość z trojanem może udawać e-mail, na który czekasz! Szkodliwa wiadomość nie będzie widoczna w skrzynce nadawcy, gdyż tak naprawdę to nie ona je wysłała, a inne maszyny z botnetu Emotet.

Jeśli dostaniesz taką wiadomość, nie zezwalaj na uruchomienie makra, a najlepiej w ogóle nie otwieraj tego dokumentu. Skorzystaj z narzędzia VirusTotal – na tej stronie sprawdzisz, czy silniki antywirusowe widzą zagrożenie w dowolnym pliku. Wystarczy, że przeciągniesz dokument na stronę. Gdy pojawi się choć jedno ostrzeżenie, powiadom nadawcę wiadomości. Jeśli pracujecie w tej samej firmie, poinformuj także dział IT.

Warto zwrócić uwagę, że niebezpieczny plik bywa wysyłany najpierw do jednej osoby, a dopiero potem do większej grupy – także do osób spoza firmy.

Jeśli uruchomiłeś makro w dokumencie rozprowadzającym Emotet, zobaczysz tylko grafikę. W tle zaś zostanie ściągnięty i zainstalowany plik EXE, zawierający trojana. Po instalacji trojan będzie ukrywał się w systemie i czekał na dalsze instrukcje z centrali. Na pewno fragment twojej książki adresowej z Outlooka i wątki korespondencji zostaną przeanalizowane w poszukiwaniu kolejnych ofiar.

Trojana Emotet możesz samodzielnie usunąć ze swojego komputera. Wystarczy do tego program antywirusowy. Na czas skanowania najlepiej odłącz się od internetu, by trojan nie mógł komunikować się z centralą. Do skanowania polecamy oprogramowanie firmy F-Secure, które potrafi rozpoznać trojana Emotet.

Odpowiednie definicje mają też programy firmy ESET i Sophos.

Jeśli interesują cię szczegóły techniczne działania trojana Emotet, czytaj dalej.

Od pracownika zaatakowanej firmy dostaliśmy e-mail razem z nagłówkami, mogliśmy więc sprawdzić, skąd został wysłany. Na firmowe serwery pocztowe trafił z Meksyku przez węzeł w Houston. Wiadomość została wysłana z serwera o adresie 187.189.68.132, należącego do firmy Total Play Telecomuicaciones – dostawcy usług internetowych i telewizyjnych. Według ipvoid z tego serwera były już wysyłane szkodliwe e-maile i spam.

W polu nadawcy zostało wpisane nazwisko pracownika zaatakowanej firmy z Polski, ale adres e-mail jalal[at]bpelbd.com nie ma z nim nic wspólnego. To adres z domeny firmy Basic Power Engineering z Bangladeszu. Trop znów prowadzi do Houston, gdzie fizycznie znajdują się serwery tej firmy (IP 192.185.77.39). Jestem niemal pewna, że ten adres e-mail jest prawdziwy i należy do jednego z inżynierów z Bangladeszu (wiadomość nie została odrzucona przez serwer, ale nie dostałam też żadnej odpowiedzi).

Niestety nie jesteśmy w stanie stwierdzić, jak zainfekowany został komputer pracownika polskiej firmy, która przekazała nam e-mail z zainfekowanym załącznikiem. Na pewno nie była to pierwsza ofiara. Dowiedziałam się, że podobny dokument z makrem pobierającym trojana Emotet otrzymała w innym wątku, tu niestety trop się urywa.

[url]Kamil J. Dudek[/url] przeanalizował kod makra w dokumencie i niebezpieczny plik, który jest pobierany na komputer. Nie było to łatwe zadanie, gdyż kod był mocno zaciemniony – było na przykład mnóstwo zbędnych zmiennych i operacji na nich. Całe makro Kamil sprowadził do kilku linijek kodu:

Podstawowa funkcja makra uruchamia skrypt w PowerShellu po odkodowaniu go metodą Base64. Skrypt ma zapisane kilka linków, z których może pobrać trojana. Jeśli któryś z plików ma długość 25591, jest uruchamiany jako proces Investorboi.

Wszystkie podane w skrypcie odnośniki prowadzą do serwerów zainstalowanym Wordpressem. Są to starsze wersje ze znanymi lukami bezpieczeństwa. Twórcy Emoteta zapewne włamali się na więcej takich serwerów i w kolejnych falach ataku podmieniają te linki.

Pobranie pliku EXE trojana (stage two payload) nie było oczywiste. Serwery nie zawsze pozwalają go ściągnąć. Kamilowi udało się to po kilkunastu próbach z jednym serwerem. To kolejny kamuflaż Emoteta. Zauważyliśmy też, że serwer C&C (Command and Controll) nie odpowiada. Nie możemy być pewni, czy to się nie zmieni w najbliższych dniach.

Znaleziony plik wykonywalny nazywał się CBIT_756695.exe i miał odpowiednią długość, by został uruchomiony. Kamil rozebrał także ten plik. Poza zaciemnionym kodem znalazł w nim także plik Windows 95!.wav. Wielu rzeczy się spodziewaliśmy, ale dżingla uruchamiania systemu sprzed 24 lat się nie spodziewaliśmy. Plik dźwiękowy ma za zadanie utrudnić inżynierię wsteczną programu.