Emotet kampány elemzése
A Trustwave SpiderLabs jelentése szerint az Emotet három hónapos inaktivitás után újraindította spammelési tevékenységét. Az új kampányban az Emotet a OneNote mellékletek használatára állította a hangsúlyt, amely taktikát más rosszindulatú programcsoportok is alkalmaztak az elmúlt hónapokban.
A spamkampány a tipikus forgatókönyvet követte egy rosszindulatú programot tartalmazó dokumentumfájllal, amelyet egy meggyőző válaszlánc-e-mailhez csatoltak. Az Emotet azonban egy régi-új trükköt alkalmazott, hogy megkerülje a biztonsági szkennereket úgy, hogy a dokumentumot ZIP-fájlba tömörítette. A ZIP fájl kicsinek tűnik, de kibontás után a kicsomagolt fájl mérete meghaladja az 500 MB-ot. A rendellenes fájlméret oka egy nulla bájtos kitöltési technika, azaz a fájl méretét úgy növelik, hogy null byte-ot vagy haszontalan adatokat fűznek a fájl végéhez. Ezt gyakran kijátszási technikaként teszik a biztonsági szoftverek elkerülése érdekében, mivel sok eszköz nem teszi lehetővé nagy fájlok feltöltését vagy szkennelését. A kitöltés nagy részének eltávolítása után a fájl 303 KB-ra csökken.
A Trustwave SpiderLabs megosztotta az azonosításhoz szükséges mutatókat.