به گزارش کارگروه امنیت سایبربان؛ کارشناسان شرکت ایتالیایی تیجی سافت (TG Soft) سرویسی به نام Have I Been Emotet راهاندازی کردند که قادر است دامنه یا آدرس ایمیلی را که بهعنوان فرستنده یا گیرنده در کمپینهای اسپم ایموتت مورداستفاده قرارگرفتهاند، شناسایی کند.
کارشناسان تیجی سافت اعلام کردند پایگاه داده آنها مجموعهای از ایمیلهای ارسالی توسط ایموتت از آگوست تا 23 سپتامبر 2020 بوده و طی این مدت محققان بیش از 21 میلیون آدرس ایمیل جمعآوری کردهاند.
این سرویس نشان میدهد چه دامنهها یا آدرسهای ایمیلی توسط ایموتت مورد سوءاستفاده قرارگرفته و چندین بار این دامنه یا آدرس بهعنوان فرستنده یا گیرنده ایمیلهای مخرب عمل کرده است.
چنانچه حساب ایمیل رایانهای هک شده و برای ارسال پیامهای اسپم مورداستفاده قرار گیرد، این سرویس هشدار میدهد، چنانچه ایمیل سرقت شده و در کمپینهای اسپم به کار رود، اطلاعرسانی میکند، این سرویس همچنین مشخص میکند کدام کاربر پیامهای مخرب ایموتت را دریافت کرده است.
بنابرگزارش بلیپینگ کامپیوتر، ابزار یادشده تعیین میکند شبکه چه شرکتهایی قربانی ایموتت شدهاند، بهعنوانمثال اخیراً یکی از شرکتهای بزرگ حوزه بهداشت به نام Universal Health Services (UHS) هدف حملات باج افزار ریوک قرارگرفت و بر اساس گزارش سرویس Have I Been Emotet دامنه uhsinc.com این شرکت در کمپینهای ایموتت دستکم 10 بار مورداستفاده قرارگرفته است.
ایموتت در سال 2014 ظهور کرده و در ابتدا بهعنوان تروجان بانکی کلاسیک عمل میکرد. بعدها این بدافزار تغییر کرد و بهعنوان بارگذار عمل کرد. در حال حاضر ایموتت بهعنوان بارگذار بدافزار از طریق پیامهای اسپم و اسناد مخرب ورد منتشر میشود و اپراتورهای آن با گروههای دیگر نیز همکاری میکنند.
امروزه ایموتت با ماژولهای مخرب زیادی توزیع میشود که به بدافزار امکان پخش درون شبکه را میدهند. این بدافزار حتی در جابهجاییهای گسترده میتواند بهعنوان کرم وای فای عمل کرده و پیوستهای ایمیلهای قربانیان را سرقت کند.
ایموتت زمانی که به سیستم قربانی نفوذ میکند بدافزارهایی همچون QakBot ،Trickbot، ماینرها و باج افزارهای Ryuk ،Conti و ProLock را در سیستم نصب میکند.
