Lesetid: 4 minutter
Hvis du ber en malware-analytiker om å kåre de farligste og skummelste trojanerne, vil Emotet definitivt være til stede i listen. I følge National Cybersecurity og kommunikasjonsintegrasjonssenter, trojan “Fortsetter å være blant de mest kostbare og destruktive skadelige programmene som påvirker statlige, lokale, stamme- og territoriale myndigheter, og den private og offentlige sektoren”. Lurt og luskent, det er massivt spredt over hele verden. Nytt enormt 4-dagers langt angrep på Emotet ble snappet opp av Comodo antimalware-anlegg.
Angrepet begynte med phishing-e-posten som ble sendt til 28,294 XNUMX brukere.
Som du ser, etterligner e-posten DHL-forsendelses- og leveringsmelding. Det berømte merkenavnet fungerer som et verktøy for å inspirere tillit til brukerne. Nysgjerrighetsfaktor spiller også sin rolle, så sjansene for at et offer klikker på lenken i e-posten uten å tenke mye er veldig høye. Og i det øyeblikket et offer klikker på lenken, kommer angripernes svarte magi til å spille.
Ved å klikke på lenken kjøres nedlasting av en Word-fil. Word-filen har selvfølgelig ingenting å gjøre med noen levering - unntatt levering av skadelig programvare. Den inneholder en ondsinnet makrokode. Siden Microsoft i dag slår av å kjøre makroer som standard i sine produkter, må angriperne lure brukere til å kjøre en eldre versjon. Derfor vises et banner når et offer prøver å åpne filen.
Hvis en bruker adlyder angripernes forespørsel, kommer makroskriptet til sitt oppdrag - å gjenoppbygge en forvirret skallkode for kjøring av cmd.exe
Etter å ha gjenoppbygd den forvirrede koden, starter cmd.exe PowerShell, og PowerShell prøver å laste ned og utføre en binær fra hvilken som helst tilgjengelig URL fra listen:
-http: //deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
I skrivende stund inneholdt bare den siste en binær, 984.exe.
Den binære, som du kanskje gjetter, er et utvalg av Emotet Banker Trojan.
Når den er utført, plasserer binæren seg til C: WindowsSysWOW64montanapla.exe.
Etter det oppretter den en tjeneste som heter montanapla som sikrer at den ondsinnede prosessen starter med hver oppstart.
Videre prøver den å koble seg til Command & Control-servere (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) for å informere angriperne om det nye offeret. Deretter venter skadelig programvare på angripernes kommandoer.
Nå er den skjulte eksterne forbindelsen med Command & Control-serveren etablert. Emotet venter, klar til å utføre enhver kommando fra angriperne. Vanligvis friterer den ut private data på den infiserte maskinen; bankinformasjon er prioritert. Men det er ikke alt. Emotet brukes også som et middel til å levere mange andre typer skadelig programvare til de infiserte maskinene. Dermed kan smitte med Emotet bare være den første ledd i kjeden til den uendelige kompromittere offerets datamaskin med forskjellige skadelige programmer.
Men Emotet er ikke fornøyd med å kompromittere bare en PC. Den prøver å infisere andre verter i nettverket. I tillegg har Emotet sterke evner til å skjule og omgå antimalware-verktøy. Å være polymorf, det unngår signaturbasert gjenkjenning av antivirus. Emotet er også i stand til å oppdage et virtuelt maskinmiljø og skjule seg med å generere falske indikatorer. Alt dette gjør det til en hard nøtt for en sikkerhetsprogramvare.
"I dette tilfellet møtte vi et veldig farlig angrep med vidtrekkende implikasjoner", sier Fatih Orhan, lederen for Comodo Threat Research Labs. ”Naturligvis er slike enorme angrep rettet mot å smitte så mange brukere som mulig, men det er bare et tips på isfjellet.
Å smitte ofre med Emotet utløser bare den ødeleggende prosessen. For det første infiserer den andre verter i nettverket. For det andre laster den ned andre typer skadelig programvare, slik at infeksjonsprosessen til de kompromitterte PC-ene blir uendelig og vokser eksponentielt. Ved å stoppe dette massive angrepet beskyttet Comodo titusenvis av brukere mot denne listige skadelige programvaren og kuttet drapskjeden til angriperne. Denne saken er enda en bekreftelse på at kundene våre er beskyttet selv mot de farligste og kraftigste angrepene.
Bo trygt med Comodo!
Varmekartet og IP-ene som ble brukt i angrepet
Angrepet ble utført fra tre Kypros-baserte IP-er og domene @ tekdiyar.com.tr. Det startet 23. juli 2018 kl 14:17:55 UTC og avsluttet 27. juli 2018 kl 01:06:00.
Angriperne sendte 28.294 phishing-e-poster.
Relaterte ressurser:
Test din e-postsikkerhet FÅ DIN KJENTE SIKKERHETSSCORECARD GRATIS Kilde: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2019
- Alle
- blant
- analytiker
- antivirus
- rundt
- Angrep
- Banking
- Svart
- Blogg
- sjansene
- kode
- kommunikasjon
- tilkobling
- nysgjerrighet
- Kunder
- cyber
- cybersikkerhet
- dato
- levering
- Gjenkjenning
- DHL
- emalje
- Miljø
- Event
- gjennomføring
- Først
- regjeringer
- hode
- Gjemme seg
- Høy
- HTTPS
- infeksjon
- informasjon
- integrering
- IP
- IT
- Juli
- Labs
- lansere
- lanseringer
- LINK
- Liste
- lokal
- Lang
- maskiner
- Makro
- malware
- Microsoft
- Oppdrag
- nettverk
- åpen
- Annen
- PC
- PC-er
- phishing
- PowerShell
- presentere
- privat
- Produkter
- offentlig
- forskning
- Ressurser
- rennende
- sikkerhet
- Sikkerhetsprogramvare
- Shell
- So
- Software
- spre
- startet
- oppstart
- Tilstand
- verden
- tenker
- tid
- Tribal
- Trojan
- Stol
- Brukere
- virtuelle
- virtuell maskin
- verden
- skriving
