Hrvatski CERT posljednjih dana primio je niz prijava o širenju zlonamjernog sadržaja Emotet.
Riječ je o sadržaju čija se trenutna verzija širi na način da "odgovara" na postojeće mailove na zaraženim računalima, pri čemu se mailovi ne šalju s računala s kojeg je ukradena korespondencija, nego s nekog drugog računala koje je dio botnet mreže.
Zlonamjerni e-mailovi sadrže zip datoteku zaštićenu lozinkom, dok se lozinka nalazi u samom tekstu maila, jer se na taj način može zaobići neke od sigurnosnih zaštita. Unutar zip datoteke nalazi se Word sokument sa zlonamjernom macro naredbom koja služi za preuzimanje i pokretanje dodatnog zlonamjernog sadržaja.
Neke od tema koje su do sada korištene u zaraženim mailovima su: naknada troškova prijevoza, smjernice za rad školskih knjižnica za vrijeme trajanja COVID-19 pandemije, natjecanje iz geografije, županijska smotra Lidrano, javni poziv za iskaz interesa (najčešće poslan od pošiljatelja koji se predstavlja kao neka od županija), sretan i blagoslovljen Uskrs, sastanak s ministrom, potvrda za zaposlenje dodatnih čistačica, stručno usavršavanje.
Oni koji sumnjaju da su im računala već zaražena virusom, mogu ih provjeriti nekim antivirusnim alatom ili specijaliziranim EmoCheck alatom (32- i 64 bitna verzija) koji je razvio japanski CERT. Ako alati otkriju zaraženost, potrebo je provjeriti i ostala računala u mreži.
Na ovom linku nalare se poznati Emotet c2 serveri čije IP adrese mogu blokirati oni koji imaju tu tehničku mogućnost.
