הכופרה ששבה מן הכפור

חוקרי סופוס חשפו את אמוטט, נוזקה שלא הייתה פעילה חמישה חודשים - וכעת חוזרת לתקוף

לחוות נזק או להשקיע במניעה? נוזקה כקובץ מצורף למייל. אילוסטרציה: BigStock

הנוזקה אמוטט (Emotet) אינה חדשה. היא נוזקה ידועה כבר כמה שנים, הנשלחת באמצעות הודעות זבל תמימות כביכול, הכוללות מסמך מיקרוסופט אופיס (Microsoft Office) זדוני. הנוזקה יכולה להסתתר במחשב הקורבן תקופה ארוכה עד שהיא מתחילה לפעול. במקרים רבים הסתבר כי היא שימשה בסיס למתקפות ולמתקפות כופר רחבות היקף כנגד חברות וארגונים.

אבל בפברואר 2020 אמוטט הפסיקה את פעילותה: הבוטנט שלה עצר וגלי הודעות הזבל חדלו. זו לא הפעם הראשונה שבה היא נעלמת מהמכ"מ, רק כדי לצוץ פעם נוספת כמה חודשים לאחר מכן. וזה בדיוק מה שקורה בימים אלה – אמוטט חזרה.

היעלמותה הפתאומית של הנוזקה בפברואר הולידה שורה של שמועות, לפיהן יוצרי הנוזקה נעצרו, נדבקו בקורונה, או שפשוט פרשו לחיים הטובים על חוף הים השחור. אבל התיאוריות הללו הופרכו בשבוע האחרון, עם גל חדש של מתקפות.

סופוס

סופוס

דפוס הפעולה הבסיסי של אמוטט לא השתנה, ועל המשתמשים להמשיך להיות זהירים ביותר, כאשר הם מקבלים הודעות ממקור בלתי ידוע, או הודעות בלתי צפויות ממקור ידוע, כאשר מצורף אליהן מסמך מיקרוסופט אופיס. "חומת ההגנה שלנו, אשר נבנתה עבור שלבים שונים של מתקפות אלו, מספקת עתה מענה גם לגל המתקפות החדש", אמר ריצ'ארד כהן, חוקר איומים בכיר ומנהל צוות זיהוי נוזקות, בסופוס (SophosLabs) בריטניה.

אמוטט התגלתה בשנת 2014, כנוזקה הנשלחת אל מוסדות פיננסיים באמצעות הודעות דואר אלקטרוני, המכילות קישורים לאתרים מתחזים וקובצי PDF ו-Docx. היא התגלתה בראשונה בכמה חברות בגרמניה, אוסטריה ושוויץ. הקבצים המצורפים לתכתובת הדואר האלקטרוני מכילים קוד מאקרו זדוני, בעזרתו ניתן להריץ פקודות ותהליכי מערכת, להתחבר אל שרת שליטה ובקרה (C&C) ולהעביר אליו נתונים רגישים. מטרתה העיקרית היא איסוף נתונים פיננסים, אנשי קשר וכתובות דוא"ל, פרטי הזדהות לחשבונות שונים, היסטורית גלישה ושימוש במחשב הקורבן לביצוע מתקפות מניעת שירות, DDoS.

בסוף 2018 התריע מערך הסייבר הלאומי כי הנוזקה מנצלת את הקניות ברשת שנערכות לרגל תחילת השנה האזרחית. היא שימשה לדוא"ל דיוג המתחזה לחברת אמזון (Amazon) ומוביל להורדת סוס טרויאני: במסגרת קמפיין הפישינג, נשלחו הודעות דוא"ל המוצגות כאישורי הזמנה באמזון, עם כותרות ההודעות: your Amazon.com order"", "Amazon order details", "Your order 162-2672000-0034071 has shipped".

לאחר הקלקה על קישור זדוני, מתחילה הנוזקה לרוץ ברקע, בלא ידיעת המשתמש – ומבצעת פעולות לא רצויות, כגון הקלטת הקשות מקלדת, גניבת פרטי חשבון ועוד. מוקדם יותר השנה CISA, הסוכנות לאבטחת סייבר ותשתיות של ארצות הברית, פרסמה הודעת אזהרה לגביה.

תגובות

(0)

כתיבת תגובה

האימייל לא יוצג באתר. שדות החובה מסומנים *

אין לשלוח תגובות הכוללות דברי הסתה, דיבה, וסגנון החורג מהטעם הטוב

אירועים קרובים