Navodno sigurna veza odvela je korisnike do zlonamernog Word-ovog dokumenta koji sadrži zlonamerni softver Emotet. Kompanija McAfee koja se bavi bezbednošću blokirala je pristup zlonamernom softveru koji je, izgleda, bio poslat iz njene mreže. Zlonamerni softver je bio na sajtu treće strane, ali podeljen je preko domena koji se povezuje sa McAfee ClickProtect- om, službom za zaštitu e-pošte koja se hvali da može da „zaštititi svako poslovanje od hakerskog napada“. Usluga je namenjena za zaštitu od napada lažnih poruka, zlonamernih softvera iz veza u porukama elektronske pošte i sprečava korisnike da posete sajtove za koje je poznato da su visoko rizični. Zlonamerna veza je pronađena kad je stručnjak za bezbednost sa sedištem u Parizu, koji koristi pseudonim Benkov, pronašao program i na Twitter poslao izveštaj o analizi zlonamernog softvera koji je uključivao vezu.
Veza je preusmerila korisnike preko domena “ cp.mcafee.com“ na zlonamerni dokument u Word- u. Svako ko je preuzeo i otvorio taj dokument bio bi izložen zlonamernom softveru Emotet banking. „Emotet se proširio uz pomoć čitave gomile zlonamerne neželjene elektronske pošte u kojoj se nalazila veza sa hakovanim sajtovima koji poseduju navedeni dokument“, napisao je u elektronskoj pošti Džerom Segura, analitičar zlonamernih softvera u bezbednosnoj kompaniji Malvarebites.
„Nakon otvaranja i omogućavanja makroa, korisnik ne znajući pokreće preuzimanje zlonamernog softvera Emotet, takođe preuzetog sa kompromitovanog sajta“, rekao je on. Softver koristi tradicionalni Word- ov dokument u kome su omogućeni makroi. Taj dokument se često isporučuje direktnom vezom ili putem e-pošte, koji će, kada se otvori i aktivira, preuzeti dodatne datoteke koristeći PowerShell ispis, uključujući i Emotet. Nakon instalacije, zlonamerni program javlja svom komandnom i kontrolnom serveru gde bi mogao da pokupi osetljive podatke, kao što su lozinke za pretragu i poštu, koje se mogu koristiti za hakovanje računa i transfer sredstava. Stručnjak za bezbednost Markus Hačins izjavio je da se zlonamerni softver povezuje sa serverom za komandu i kontrolu koristeći kodirane IP adrese, ali koristi proksije za izbegavanje detekcije.
Sa svoje strane, kompanija McAfee je rekla da istražuje slučaj, ali izjavila je i da je usluga „izvršena prema planu“. „U ranim jutarnjim satima 13. novembra, pomenuta veb destinacija još nije bila identifikovana kao izvor širenja zlonamernog softvera“, rekao je portparol. Međutim, kasnije tog dana, servis Global Threat Intelligence kompanije McAfee zaista je identifikovao pretnju, promenio rangiranje reputacije sajta sa „nisko rizičan“ na „visoko rizičan“, a zatim sprečio McAfee korisnike da pristupe sajtu,“ rekao je portparol.
Portparol je rekao da je do trenutka kada je McAfee- ov istraživački tim postao svestan statusa sajta iz poruke elektronske pošte koja im je poslata, „sajt bio blokiran već́ izvesno vreme“. Ali to se ne poklapa sa proverenom verzijom događaja. Ubrzo pošto je kompanija McAfee rekla da je sajt blokiran, veza je i dalje bila aktivna i vodila je do zlonamernog Word- ovog dokumenta. Takođe nije jasno zašto je kompanijin servis označio sajt kao visoko rizičan, ali i dalje omogućavao preuzimanje zlonamernog softvera.
Prema rečima portparola kompanija još radi na utvrđivanju „tačnog vremenskog sleda“ događaja. Nije poznato kako je veza stvorena – da li su je napravili hakeri da bi prevarili žrtve koje su, ne sumnjajući ništa, preuzele zlonamerni program, ili je napravljena greškom. Portparol kompanije je rekao da veza nije rezultat „namerne zloupotrebe“ sistema.
Hakeri su, međutim, povećali upotrebu Emotet softvera u posljednjih nekoliko meseci i sve više pribegavaju slanju pažljivo napravljenih poruka elektronske pošte i primenjuju tehnike socijalnog inženjeringa. Hakeri se često lažno predstavljaju kao dobavljači usluga telefonije (fiksne i mobilne) ili interneta i uglavnom se usredsređuju na ciljeve u SAD, UK i Kanadi, prema nedavnom izveštaju Trend Micro- a.
Međutim, i dalje nije poznato zbog čega se zlonamerni program ponovo pojavio. Kompanija Microsoft je nedavno apelovala na poslovne korisnike da pomognu u sprečavanju zlonamernog softvera, što je sve više u rukama hakera. Segura je upozorio da čak i korisnici sa sistemima zaštite elektronske pošte, poput preduzeća, i dalje mogu biti obmanuti.
„Korisnici bi trebalo da se čuvaju skraćenih ili konvertovanih veza, a možda čak i više kad pretpostavljaju da su zaštićeni“, rekao je on. „Isto važi i za ispise koji su dodati na dnu poruka elektronske pošte, kao što je „ova poruka je garantovano bez virusa“ ili slično“, dodao je on. „Ne samo da korisnicima daje lažan osećaj sigurnosti, već́ i prestupnici često dodaju takve poruke u cilju socijalnog inženjeringa.“