Siber güvenlik araştırmacıları, dünyanın en yaygın ve inatçı botnet ağlarından olan Emotet’in 6 ay süren sessizliğin akabinde geçtiğimiz haftalarda tekrar faaliyete geçtiğini belirledi. İstenmeyen e-postalarda yer alan belge ekleri aracılığıyla yayılan Emotet, 2020 yılı Şubat ayında bir anda tüm faaliyetlerini sonlandırmış ve bu durum çeşitli yorumlara sebep olmuştu. Kimileri Emotet’i denetim edenlerin mahpusa girdiğini yahut COVID-19’a yakalandığını sav ederken, kimileri da refah içinde emekliliği tercih ettiklerini öne sürmüştü. Emotet’in 17 Temmuz’da yine harekete geçmesiyle bu tartışmalar da son buldu.
SophosLabs Birleşik Krallık Abingdon Tehdit İzleme Takımı Yöneticisi Richard Cohen, hususa dair şu değerlendirmede bulundu: “Sophos olarak Emotet’e dair geçmişte pek çok inceleme ve rapor yayınladık. Bunlar ortasında Emotet’in ziyanlı yazılım ekosistemine ve nasıl çalıştığına dair epey ayrıntılı bilgiler de yer alıyordu. Emotet’i Şubat 2020’de tüm spam ve botnet aktivitelerini sonlandırdığından beri takip ediyorduk, zira bunu daha evvel yaptıklarına şahit olmuştuk. Bu sefer de bizi şaşırtmadılar.”
iOS Mazeretini Tuzak Olarak Kullanıyor
Emotet çetesi geri dönmelerinin akabinde oyunu eski kurallarıyla oynamaya devam ediyor. Evvel tanıdığınız yahut tanımadığınız bir göndericiden ekinde Microsoft Office evrakı olan bir e-posta alıyorsunuz. Belgeyi açmak istediğinizde sizden birtakım ek müsaadeler isteniyor. Bu müsaadeleri verirseniz ziyanlı kod çalışıyor ve Emotet’i kendi elinizle buyur ediyorsunuz.
Lakin Emotet’in yaratıcıları son vakitlerde sisteme birinci girişi yapmalarını sağlayacak belgeyi açtığınızdan emin olmak için değişik bir yola başvuruyor. Size e-posta ekinde gönderdikleri evrakın komut işlevlerini aktifleştirmek için belgenin iOS işletim sistemiyle oluşturulduğu ve Windows ile ahengini sağlamak için birtakım ek izinlere muhtaçlık duyduğunu söylüyor. Çok ikna edici görünen bu palavraya inanırsanız ağınızın kapıları Emotet için arkasına kadar açılıyor.
Emotet’i tehlikeli yapan şey yalnızca hırsızlık maksadıyla geliştirilmiş bir yazılım olmakla kalmayıp, öbür pek çok ziyanlı yazılımın sistemlere girmesine yardımcı olan bir aracı üzere davranması. Bunu da bulaştığı sistemlerde firewall üzerinde açtığı şifreli kanallarla ağ tabanlı savunma sistemlerini devre dışı bırakarak gerçekleştiriyor. Böylelikle küçük bir Truva atının sisteme girişiyle başlayan süreci süratle tehdide dönüştürmek yerine, saldırıyı adım adım kurgulayıp işleri geri döndürülemeyecek bir noktaya getirene kadar bekledikten sonra harekete geçmeyi tercih ediyor.
Korunmak İçin Ne Yapmalı?
Emotet’ten korunmak için e-posta şayet tanıdığınız birinden geliyorsa, şüphelendiğiniz her durumda e-posta ekinde yer alan evrakları açmadan evvel iletinin yasallığından emin olmak için göndericiyle irtibata geçin. Göndericinin sistemi ele geçirilmiş ve e-posta hesabı Emotet’i yaymak için kullanılmış olabilir. Rastgele bir hususta sizi süratle ekteki belgeyi açmaya yönlendiren e-postalar alıyorsanız, bilhassa de açmaya çalıştığınız belge sizden komut evrakı yazma süreci üzere gelişmiş özellikleri etkinleştirmenizi istiyorsa kuşku duymanın vaktidir.
Bunların yanı sıra Emotet ve öteki tehditlere karşı aktüel bir güvenlik yazılımı kullanmayı tercih edebilirsiniz. Güvenlik tahlilleri tarafından Emotet ve bileşenleri şu isimlerle tespit ediliyor:
- Mal/DocDl-K ve Mal/DocDl-L (Doküman indiriciler)
- AMSI/Exec-P (Dosya indiriciler)
- ML/PE-A (Çalıştırılabilir dosyalar)
- CXmal/Emotet-C (Saldırı paketleri)
- HPmal/Emotet-D (Davranışa bağlı olarak tespit edilen taarruz paketleri)
- Troj/Emotet-CJW (Şekil değiştiren hücum paketleri)
