Мем-рассылка

Не время говорить о серьезных вещах. Время гифок. Уверен, что в какой-то выходной точно так же подумали ребята из следующей истории.

В начале июля специалисты Cryptolaemus зафиксировали возобновление работы долгое время молчавшего ботнета Emotet. Проснувшийся зловред распространяется посредством рассылки писем-приманок с вложенными файлами MS Office, либо ссылками на них.

Жертва, скачавшая и открывшая файл не становится сразу заражённой. Для дальнейшей работы зловреда нужно, чтобы пользователь ответил утвердительно на запрос о включении макросов. И вот тогда, на машину жертвы загружается пейлоад (“полезная” нагрузка, осуществляющая дальнейшее развитие зловреда — установку программ, ворующих данные, майнеров, шифровальщиков и т.д.).

В основном, ссылки, которые рассылает Emotet, ведут на предварительно взломанные ресурсы на базе WordPress. Доступ к этим сайтам злоумышленники выстраивают через веб-шелл. И, как установили специалисты, при этом, всегда используют один и тот же пароль.

А вот теперь, сам курьёз. Анекдот. Хохма. Прибаутка. Я не знаю более подходящих слов к чувству юмора этих товарищей, но…

Неизвестные хакеры смогли узнать этот пароль и начали подменять файлы загрузки гифками. Таким образом, жертвы Emotet не получают пейлоады на свои машины, а эффективность самого ботнета существенно снижается.

Пока нельзя сказать точно, кто именно стоит за этими “контратаками”, но чувство юмора у него все-таки есть — одной из загруженных гифок оказался Хакермен из нашумевшего несколько лет назад короткометражного комедийного боевика “Kung Fury”.

Возможно, таким комичным образом происходит передел рынка, в ходе которого работа одного из самых активных ботнетов 2019 года уже снизилась в четыре раза, а возможно, в дело вмешались хорошие парни, пожелавшие до поры оставаться неизвестными.

Так или иначе, шалость удалась.