Leestijd: 4 minutenCybercriminelen die dol zijn op feestdata zoals Thanksgiving Day - maar niet om dezelfde reden als opstaande mensen. Voor de daders is het de favoriete tijd om aan te vallen. Waarom? Omdat mensen op zulke dagen afgestemd zijn op prettige en goede gedachten en gevoelens. Helaas maakt het ze kwetsbaarder. Als ze een begroetingsbrief in de inbox zien, voelen ze dankbaarheid en nieuwsgierigheid - wie heeft die gestuurd? - en klikken op het bijgevoegde bestand zonder na te denken over mogelijk gevaar.
Aan de vooravond van deze Thanksgiving-dag onderschepten Comodo-specialisten een sluwe aanval gericht op het verspreiden van een van de meest snode malware - de Emotet-trojan, die meestal wordt gebruikt voor het stelen van bankgegevens en andere privรฉ-informatie.
Meestal verspreidt deze malware zich meestal als een financiรซle e-mail, zoals een bericht van een bank. Hier is een voorbeeld van een dergelijke e-mail die wordt onderschept door Comodo-faciliteiten.
Zoals u kunt zien, gebruikten de aanvallers goed voorbereide nepproducten die zelfs een beveiligingsbewuste gebruiker konden misleiden. De link in de e-mail leidt naar "rozdroza.com/En_us/Clients_Messages/11_18 " URL. Als een gebruiker op de link klikt, wordt het vergiftigde Microsoft Office-documentbestand automatisch op haar computer geplaatst.
Maar aan de vooravond van de Thanksgiving-dag besloten de daders iets speciaals te maken en het geรฏnfecteerde bestand te verbergen als een wenskaart. Hieronder staan โโde voorbeelden van de phishing-e-mails ze gebruiken in de nieuwe aanval.
Zoals u kunt zien, zijn deze e-mails ook zorgvuldig uitgewerkt om er aannemelijk uit te zien. Ze hebben verschillende inhoud, maar in elk geval is het gebouwd om aangename en warme emoties bij de slachtoffers op te wekken. Of het nu gaat om een โโhartelijke begroeting, bewondering van een collega of zelfs een poรซzie, het wekt een goed humeur bij de slachtoffers en verzwakt zo hun waakzaamheid.
De citaten van geweldige mensen onderaan de berichten werden ook gebruikt om vertrouwen te wekken bij de slachtoffers, waardoor de kans groter werd dat ze het document zouden openen - en de vijand het huis binnenlaten. In werkelijkheid is de "wenskaart" een Word-document dat is geรฏnfecteerd met Emotet.
Laten we eens kijken naar de hele moordketen van deze sluwe malware.
Het geรฏnfecteerde bestand heeft een ingesloten Macro-script. Wanneer een gebruiker een "wenskaart" opent, downloaden de macro's Emotet op de machine van het slachtoffer.
Ten eerste wordt de gebruiker geรฏnstrueerd om de uitvoering van macro-inhoud mogelijk te maken, aangezien het document een VBA-stream bevat die is ontworpen om de malware te downloaden en uit te voeren.
Als de gebruiker de actieve inhoud laat uitvoeren, roept de code cmd.exe met gewijzigde parameters die opnieuw zullen aanroepen cmd.exe met versluierde parameters die uiteindelijk een script doorgeven aan powershell.exe ontworpen om binaire bestanden van internet te downloaden en uit te voeren.
De versluierde parameters die worden gebruikt om te starten cmd.exe worden opgeslagen in een tekstvak waarvan het formaat is aangepast zodat het onopgemerkt blijft voor het slachtoffer.
Daarna onderzoekt het script vijf locaties om Emotet te downloaden: anora71.uz/aH3i9EM, egyptmotors.com/EfRRkqPucD, friskyeliquid.com/xspcYyA63, m3produtora.com/QOlBVnrL40, litsey4.ru/V5XLXxDubY.
Vervolgens downloadt het de malware naar het tijdelijk map en voert het uit. Emotet beweegt zich naar C: WindowsSysWOW64cachingplain.exe en maakt een service die wordt uitgevoerd tijdens het opstarten van het systeem.
De nieuw gecreรซerde dienst maakt verbinding met de C & C-server om de beschikbaarheid te melden en commando's te ontvangen.
Vanaf dit moment staat de geรฏnfecteerde machine volledig onder controle van de aanvallers. Ze kunnen de inloggegevens, bankgegevens en andere privรฉgegevens van de gebruikers van de pc halen en de aanval voortzetten door andere soorten malware te downloaden.
"De aanval is een ingewikkelde vergiftigde samenvoeging van verfijnde, goed vermomde malware en psychologische manipulatietrucs", zegt Fatih Orhan, het hoofd van Comodo Threat Research Labs. โHet is niet alleen gevaarlijk en vernietigend vanuit technisch oogpunt, maar vooral cynisch en immoreel vanwege het uitbuiten van de heldere gevoelens van mensen tijdens een grootse vakantie. Het is altijd slecht om beroofd te worden, maar het is veel erger om tijdens zo'n geweldige vakantie te worden beroofd en je ervan bewust te zijn dat daders je eigen heldere gevoelens tegen je hebben gebruikt. Ik ben erg blij dat we onze klanten hebben beschermd tegen deze pijnlijke gevolgen en de daders een viering van zo'n grote dag niet hebben laten bederven โ.
De heatmap en details van de aanval
De aanval begon op 19 november 2018 om 18:34:12 en werd voortgezet op het moment dat dit artikel werd gemaakt. Het werd uitgevoerd vanuit 26 IP's uit 10 landen. Momenteel worden 108 phishing-e-mails ontdekt en vermoedelijk bereikt de aanval zijn hoogtepunt op Thanksgiving-dag.
De landen die betrokken zijn bij de aanval en het aantal verzonden e-mails per land
De heatmap
Veilig leven met Comodo!
De post Een vergiftigd geschenk voor Thanksgiving Day: Emotet komt in een nieuwe vermomming om in te breken op uw bankrekening verscheen eerst op Comodo Nieuws en informatie over internetbeveiliging.
- Coinsmart. Europa's beste Bitcoin- en crypto-uitwisseling.
- Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. GRATIS TOEGANG.
- CryptoHawk. Altcoin-radar. Gratis proefversie.
- Bron: https://blog.comodo.com/comodo-news/poisoned-gift-for-thanksgiving-day-a-new-disguise-to-break-into-your-bank-account/
- Account
- actieve
- dit artikel
- beschikbaarheid
- Bank
- bankrekening
- Bankieren
- Blog
- bouw
- Bellen
- kansen
- code
- content
- voortzetten
- landen
- Wij creรซren
- Geloofsbrieven
- nieuwsgierigheid
- Klanten
- Data
- dag
- ontdekt
- emoties
- Event
- uitvoering
- nep
- Tot slot
- goed
- dankbaarheid
- groot
- hoofd
- hier
- Huis
- HTTPS
- informatie
- Internet
- betrokken zijn
- IT
- Labs
- lancering
- LINK
- Macro
- malware
- Manipulatie
- Microsoft
- Microsoft Office
- stemming
- beweegt
- open
- opent
- Overige
- PC
- Mensen
- Phishing
- Poรซzie
- Oogpunt
- privaat
- Realiteit
- onderzoek
- lopen
- veiligheid
- spam
- verspreiden
- gestart
- startup
- system
- Technisch
- het denken
- niet de tijd of
- Trojaans
- Trust
- Bekijk
- Kwetsbaar
- WIE