読書の時間: 4 分
マルウェアアナリストに最も危険で悪質なトロイの木馬を指定するように依頼すると、Emotetは間違いなくリストに表示されます。 国民によると サイバーセキュリティ および通信統合センター、 トロイの 「州、地方、部族、および領土の政府、ならびに民間および公共部門に影響を与える最もコストがかかり、破壊的なマルウェアの4つであり続ける」。 狡猾で卑劣で、世界中に広まっています。 EmotetのXNUMX日間にわたる新しい巨大な攻撃は、Comodoマルウェア対策施設によって阻止されました。
攻撃は、28,294人のユーザーに送信されたフィッシングメールから始まりました。
ご覧のように、電子メールはDHLの出荷および配達メッセージを模倣しています。 この有名なブランド名は、ユーザーへの信頼を高めるためのツールとして機能します。 好奇心の要因もその役割を果たすため、被害者が多くのことを考えずにメールのリンクをクリックする可能性は非常に高いです。 そして、被害者がリンクをクリックした瞬間、攻撃者の黒魔術が始まります。
リンクをクリックすると、Wordファイルのダウンロードが実行されます。 もちろん、Wordファイルは、マルウェアの配信を除いて、配信とは何の関係もありません。 悪意のあるマクロコードが含まれています。 現在、マイクロソフトでは製品のマクロの実行をデフォルトで無効にしているため、攻撃者はユーザーをだまして古いバージョンを実行させる必要があります。 そのため、被害者がファイルを開こうとすると、次のバナーが表示されます。
ユーザーが攻撃者の要求に従うと、マクロスクリプトがその使命を果たします— cmd.exeを実行するための難読化されたシェルコードを再構築します
難読化されたコードを再構築した後、cmd.exeはPowerShellを起動し、PowerShellはリストから利用可能なURLからバイナリをダウンロードして実行しようとします。
-http://deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
執筆時点では、最後の984つだけにバイナリXNUMX.exeが含まれていました。
バイナリは、ご想像のとおり、サンプルです。 Emotet Bankerトロイの木馬.
実行されると、バイナリは自身をC:WindowsSysWOW64montanapla.exeに配置します。
その後、悪質なプロセスが起動するたびに起動することを保証するmontanaplaという名前のサービスを作成します。
さらに、Command&Controlサーバー(181.142.74.233、204.184.25.164、79.129.120.103、93.88.93.100)に接続して、攻撃者に新しい被害者について通知しようとします。 次に、マルウェアは攻撃者のコマンドを待ちます。
これで、Command&Controlサーバーとの秘密のリモート接続が確立されました。 Emotetは待機しており、攻撃者からのコマンドを実行する準備ができています。 通常、感染したマシン上の個人データを探し出します。 銀行情報は優先事項です。 しかし、それだけではありません。 Emotetは、他の多くのサービスを提供する手段としても使用されます マルウェアの種類 感染したマシンに。 したがって、Emotetに感染することは、さまざまなマルウェアで被害者のコンピュータを危険にさらす無限の連鎖の最初のリンクにすぎません。
しかし、EmotetはXNUMX台のPCだけを危険にさらすことに満足していません。 ネットワーク内の他のホストへの感染を試みます。 さらに、Emotetにはマルウェア対策ツールを非表示にしてバイパスする強力な機能があります。 ポリモーフィックであるため、シグネチャベースの検出が回避されます。 アンチウイルス。 また、Emotetは仮想マシン環境を検出し、偽のインジケーターを生成して偽装することができます。 これらすべてが、セキュリティソフトウェアのハードナットになります。
「この場合、広範囲に及ぶ影響を伴う非常に危険な攻撃に直面しました」とComodo Threat Research Labsの責任者であるFatih Orhanは述べています。 「明らかに、このような巨大な攻撃は、できるだけ多くのユーザーを感染させることを目的としていますが、それは氷山の一角にすぎません。
Emotetで被害者に感染すると、壊滅的なプロセスが引き起こされます。 まず、ネットワーク内の他のホストに感染します。 次に、他の種類のマルウェアをダウンロードするため、侵入先のPCの感染プロセスは無限になり、指数関数的に増加します。 この大規模な攻撃を阻止することで、Comodoは何万人ものユーザーをこの狡猾なマルウェアから保護し、攻撃者の殺害連鎖を削減しました。 このケースは、最も危険で強力な攻撃からもお客様が保護されていることのもうXNUMXつの確認です。」
コモドで安全に暮らしましょう!
攻撃で使用されるヒートマップとIP
攻撃は、23つのキプロスベースのIPとドメイン@ tekdiyar.com.trから行われました。 2018年14月17日55:27:2018 UTCに開始し、01年06月00日XNUMX:XNUMX:XNUMXに終了しました。
攻撃者は28.294のフィッシングメールを送信しました。
関連リソース:
メールのセキュリティをテストする インスタントセキュリティのスコアカードを無料で入手 ソース:https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2019
- すべて
- 間で
- アナリスト
- アンチウイルス
- 周りに
- 攻撃
- バンキング
- ブラック
- ブログ
- チャンス
- コード
- 通信部
- 接続
- 好奇心
- Customers
- サイバー
- サイバーセキュリティ
- データ
- 配達
- 検出
- DHL
- 環境
- イベント
- 実行
- 名
- 政府
- 隠す
- ハイ
- HTTPS
- 感染
- 情報
- 統合
- IP
- IT
- 7月
- ラボ
- 起動する
- 起動
- LINK
- リスト
- ローカル
- 長い
- マシン
- マクロ
- マルウェア
- Microsoft
- ミッション
- ネットワーク
- 開いた
- その他
- PC
- パソコン
- フィッシング詐欺
- PowerShellの
- 現在
- プライベート
- 製品
- 公共
- 研究
- リソース
- ランニング
- セキュリティ
- セキュリティソフトウェア
- シェル(Shell)
- So
- ソフトウェア
- 広がる
- 開始
- スタートアップ
- 都道府県
- 世界
- 考え
- 時間
- 部族の
- トロイの
- 信頼
- users
- バーチャル
- バーチャルマシン
- 世界
- 書き込み