殭屍網路病毒Emotet被惡搞,惡意程式被換成無害GIF檔

一群研究人員發現,一名不知名人士近日發動惡搞,將近年最危險的金融木馬及殭屍網路惡意程式Emotet的下載連結,置換成下載無害的GIF圖檔,至少暫時癱瘓其感染能力。

ZDNet報導Emotet最初出現於2014年,一開始是一隻金融木馬程式,專門潛伏在用戶電腦中,等用戶登入網路銀行帳戶時竊取其帳密,然後讓駭客得以盜轉受害者的金錢。但近幾年它改變了「商業模式」,變成一隻殭屍網路病毒。它會先傳送垃圾郵件或連結誘使用戶下載Office檔案植入電腦,藉此感染大量機器,並提供服務下載其他駭客撰寫的惡意程式,從勒索軟體、挖礦程式、木馬、竊密軟體。Emotet今年初還加入感染Wi-Fi網路的能力。由於它能在企業網路建立殭屍網路,被視為最危險的殭屍網路病毒之一。

一群安全研究人員組成的白帽駭客聯盟Cryptolaemus上周發現,一個或一組不知名的駭客對下載Emotet的連結發動破壞。原本Emotet把惡意程式暫時代管在一些被駭入的Wordpress網站上,利用開源web shell來控制這些網站,等感染大量機器後再下載。但是它犯了一般企業用戶相同的錯誤:所有web shell使用相同密碼。

7月21日,別的駭客發現並破解了web shell的共用密碼,將所有應該下載Emotet的Office檔案,全數置換成Giphy和Imgur代管的搞笑動態GIF檔(如這個這個)。也就是說,即使受害者下載了一個惡意Office檔,也不會感染Emotet。

Emotet自7月23日起下線,管理員忙著驅逐惡搞的駭客及恢復下載連結,但後者惡搞速度比Emotet管理員動作還快,將這個殭屍網路搞得人仰馬翻。到上周五為止,Emotet網路只剩1/4還在運作,管理員仍在搶回web shell控制權。

這不知名的駭客身份仍不得而知。Cryptolaemus研究人員猜測可能是安全研究人士,也可能是競爭對手。

原文來自 iThome Online