Lesezeit: 4 Minuten
Wenn Sie einen Malware-Analysten bitten, die gefährlichsten und schändlichsten Trojaner zu nennen, ist Emotet definitiv in der Liste enthalten. Nach Angaben des Nationalen Internet-Sicherheit und Kommunikationsintegrationszentrum, das Trojaner "Gehört weiterhin zu den teuersten und zerstörerischsten Schadprogrammen, die staatliche, lokale, Stammes- und Territorialregierungen sowie den privaten und öffentlichen Sektor betreffen." Listig und hinterhältig ist es massiv auf der ganzen Welt verbreitet. Ein neuer immenser 4-tägiger Angriff von Emotet wurde von den Antimalware-Einrichtungen von Comodo abgefangen.
Der Angriff begann mit der Phishing-E-Mail an 28,294 Benutzer.
Wie Sie sehen können, ahmt die E-Mail die DHL-Versand- und Zustellungsnachricht nach. Der berühmte Markenname dient als Instrument, um das Vertrauen der Benutzer zu wecken. Der Neugierfaktor spielt ebenfalls eine Rolle, sodass die Wahrscheinlichkeit, dass ein Opfer auf den Link in der E-Mail klickt, ohne viel nachzudenken, sehr hoch ist. Und sobald ein Opfer auf den Link klickt, kommt die schwarze Magie der Angreifer zum Einsatz.
Durch Klicken auf den Link wird das Herunterladen einer Word-Datei ausgeführt. Natürlich hat die Word-Datei nichts mit einer Lieferung zu tun - außer der Lieferung von Malware. Es enthält einen schädlichen Makrocode. Da Microsoft heutzutage die Ausführung von Makros in seinen Produkten standardmäßig deaktiviert, müssen die Angreifer Benutzer dazu verleiten, eine ältere Version auszuführen. Wenn ein Opfer versucht, die Datei zu öffnen, wird das folgende Banner angezeigt.
Wenn ein Benutzer der Aufforderung des Angreifers folgt, kommt das Makroskript zu seiner Aufgabe - einen verschleierten Shell-Code für die Ausführung von cmd.exe neu zu erstellen
Nach dem erneuten Erstellen des verschleierten Codes startet cmd.exe PowerShell, und PowerShell versucht, eine Binärdatei von einer verfügbaren URL aus der Liste herunterzuladen und auszuführen:
-http: //deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
Zum Zeitpunkt des Schreibens enthielt nur die letzte eine Binärdatei, 984.exe.
Die Binärdatei ist, wie Sie vielleicht erraten haben, ein Beispiel für Emotet Banker Trojaner.
Nach der Ausführung platziert sich die Binärdatei in C: WindowsSysWOW64montanapla.exe.
Danach wird ein Dienst namens montanapla erstellt, der sicherstellt, dass der böswillige Prozess bei jedem Start gestartet wird.
Außerdem wird versucht, eine Verbindung mit Command & Control-Servern (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) herzustellen, um die Angreifer über das neue Opfer zu informieren. Dann wartet die Malware auf die Befehle der Angreifer.
Jetzt wird die verdeckte Remoteverbindung mit dem Command & Control-Server hergestellt. Emotet wartet und ist bereit, jeden Befehl der Angreifer auszuführen. Normalerweise werden private Daten auf dem infizierten Computer abgerufen. Bankinformationen haben Priorität. Aber das ist nicht alles. Emotet wird auch als Mittel verwendet, um viele andere zu liefern Arten von Malware zu den infizierten Maschinen. Somit kann die Infektion mit Emotet nur das erste Glied in der Kette der endlosen Gefährdung des Computers des Opfers mit verschiedener Malware sein.
Emotet gibt sich jedoch nicht damit zufrieden, nur einen PC zu kompromittieren. Es wird versucht, andere Hosts im Netzwerk zu infizieren. Darüber hinaus verfügt Emotet über die Fähigkeit, Antimalware-Tools zu verbergen und zu umgehen. Da es polymorph ist, wird die signaturbasierte Erkennung durch vermieden Antivirenprogramme. Außerdem kann Emotet eine Umgebung einer virtuellen Maschine erkennen und sich durch die Generierung falscher Indikatoren tarnen. All dies macht es zu einer harten Nuss für eine Sicherheitssoftware.
„In diesem Fall standen wir vor einem sehr gefährlichen Angriff mit weitreichenden Auswirkungen“, sagt Fatih Orhan, Leiter der Comodo Threat Research Labs. „Offensichtlich zielen solche immensen Angriffe darauf ab, so viele Benutzer wie möglich zu infizieren, aber das ist nur eine Spitze des Eisbergs.
Das Infizieren von Opfern mit Emotet löst nur den verheerenden Prozess aus. Erstens infiziert es andere Hosts im Netzwerk. Zweitens werden andere Arten von Malware heruntergeladen, sodass der Infektionsprozess der gefährdeten PCs endlos wird und exponentiell zunimmt. Durch das Stoppen dieses massiven Angriffs schützte Comodo Zehntausende von Benutzern vor dieser gerissenen Malware und schnitt die Tötungskette der Angreifer ab. Dieser Fall ist eine weitere Bestätigung dafür, dass unsere Kunden auch vor den gefährlichsten und stärksten Angriffen geschützt sind. “
Lebe sicher mit Comodo!
Die im Angriff verwendete Heatmap und IPs
Der Angriff wurde von drei IPs in Zypern und der Domain @ tekdiyar.com.tr durchgeführt. Es begann am 23. Juli 2018 um 14:17:55 UTC und endete am 27. Juli 2018 um 01:06:00 Uhr.
Die Angreifer haben 28.294 Phishing-E-Mails gesendet.
Ähnliche Resourcen:
TESTEN SIE IHRE E-MAIL-SICHERHEIT ERHALTEN SIE IHRE SOFORTIGE SICHERHEITSKORECARD KOSTENLOS Quelle: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2019
- Alle
- unter
- Analytiker
- Antivirus
- um
- Anschläge
- Bankinggg
- Schwarz
- Blog
- Chancen
- Code
- Kommunikation
- Verbindung
- Neugier
- Kunden
- Cyber-
- Internet-Sicherheit
- technische Daten
- Lieferanten
- Entdeckung
- dhl
- Arbeitsumfeld
- Event
- Ausführung
- Vorname
- Regierungen
- ganzer
- Verbergen
- High
- HTTPS
- Infektion
- Information
- Integration
- IP
- IT
- Juli
- Labs
- starten
- startet
- LINK
- Liste
- aus einer regionalen
- Lang
- Maschinen
- Makro
- Malware
- Microsoft
- Ziel
- Netzwerk
- XNUMXh geöffnet
- Andere
- PC
- PCs
- Phishing
- Powershell
- Gegenwart
- privat
- Produkte
- Öffentlichkeit
- Forschungsprojekte
- Downloads
- Laufen
- Sicherheitdienst
- Sicherheitssoftware
- Schale
- So
- Software
- Verbreitung
- begonnen
- Anfang
- Bundesstaat
- die Welt
- Denken
- Zeit
- Stammes-
- Trojan
- Vertrauen
- Nutzer
- Assistent
- virtuellen Maschine
- weltweit wie ausgehandelt und gekauft ausgeführt wird.
- Schreiben
