Läsningstid: 4 minuter
Om du ber en skadlig analytiker att namnge de farligaste och besvikna trojanerna, kommer Emotet definitivt att finnas i listan. Enligt National Cybersäkerhet och Kommunikationsintegrationscenter, trojan ”Fortsätter att vara bland de mest kostsamma och destruktiva skadliga program som påverkar statliga, lokala, stam- och territoriella regeringar och den privata och offentliga sektorn.” Lurlig och smygig, den är massivt spridd över hela världen. Ny enorm 4-dagars lång attack av Emotet avlyssnades av Comodo antimalware-anläggningar.
Attacken inleddes med phishing-e-postmeddelandet som skickades till 28,294 XNUMX användare.
Som du ser imiterar e-postmeddelandet DHL-leverans- och leveransmeddelande. Det berömda varumärket fungerar som ett verktyg för att inspirera användarnas förtroende. Nyfikenhetsfaktorn spelar också sin roll, så chansen att ett offer klickar på länken i e-postmeddelandet utan att tänka mycket är mycket hög. Och i det ögonblick ett offer klickar på länken kommer attackerarnas svarta magi att spela.
Om du klickar på länken laddas ned en Word-fil. Naturligtvis har Word-filen ingenting att göra med någon leverans - förutom leverans av skadlig programvara. Den innehåller en skadlig makrokod. Eftersom Microsoft för närvarande stänger av att köra makron som standard i sina produkter, måste angriparna lura användare att köra en äldre version. Det är därför som ett offer försöker öppna filen visas följande banner.
Om en användare följer angriparnas begäran kommer makroskriptet till sitt uppdrag - återuppbygga en obuskerad skalkod för exekvering av cmd.exe
Efter att ha byggt om den obuskerade koden startar cmd.exe PowerShell, och PowerShell försöker ladda ner och köra en binär från någon tillgänglig URL från listan:
-http: //deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
I skrivande stund innehöll bara den sista en binär, 984.exe.
Den binära, som du kanske gissar, är ett exempel på Emotet Banker Trojan.
När den har utförts placerar den binära sig C: WindowsSysWOW64montanapla.exe.
Efter det skapar det en tjänst med namnet montanapla som säkerställer att den skadliga processen startas vid varje start.
Vidare försöker den ansluta till Command & Control-servrar (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) för att informera angriparna om det nya offret. Då väntar skadlig programvara på angriparnas kommandon.
Nu är den dolda fjärranslutningen med Command & Control-servern upprättad. Emotet väntar, redo att utföra alla kommandon från angriparna. Vanligtvis friterar den ut privat data på den infekterade maskinen; bankinformation är en prioritet. Men det är inte allt. Emotet används också som ett sätt att leverera många andra typer av skadlig kod till de infekterade maskinerna. Således infektera med Emotet kan bli bara den första länken i kedjan av den oändliga kompromissa offrets dator med olika skadlig programvara.
Men Emotet är inte nöjd med att bara äventyra en dator. Den försöker smitta andra värdar i nätverket. Emotet har dessutom starka förmågor att dölja och kringgå antimalware-verktyg. Att vara polymorf, undviker det signaturbaserad detektion av antiviruses. Emotet kan också upptäcka en virtuell maskinmiljö och dölja sig med att skapa falska indikatorer. Allt detta gör det till en hård mutter för en säkerhetsprogramvara.
"I det här fallet stod vi inför en mycket farlig attack med långtgående konsekvenser", säger Fatih Orhan, chef för Comodo Threat Research Labs. ”Självklart syftar sådana enorma attacker till att infektera så många användare som möjligt men det är bara ett tips på isberget.
Att infektera offer med Emotet utlöser bara den förödande processen. Först infekterar det andra värdar i nätverket. För det andra laddar den ner andra typer av skadlig programvara, så infektionsprocessen för de komprometterade datorerna blir oändlig och växer exponentiellt. Genom att stoppa denna enorma attack skyddade Comodo tiotusentals användare från denna listiga skadlig programvara och skar attackernas mördningskedja. Detta fall är ännu en bekräftelse på att våra kunder är skyddade även från de farligaste och kraftfullaste attackerna. ”
Lev säkert med Comodo!
Värmekartan och IP: erna som användes i attacken
Attacken genomfördes från tre Cypernbaserade IP-adresser och domän @ tekdiyar.com.tr. Det började 23 juli 2018 kl 14:17:55 UTC och slutade 27 juli 2018 kl 01:06:00.
Angriparna skickade 28.294 phishing-e-post.
Relaterade resurser:
Testa din e-postsäkerhet FÅ DIN Omedelbara säkerhetskort GRATIS Källa: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2019
- Alla
- bland
- analytiker
- antivirus
- runt
- Attacker
- Banking
- Svart
- Blogg
- chanser
- koda
- Trygghet i vårdförloppet
- anslutning
- nyfikenhet
- Kunder
- cyber
- Cybersäkerhet
- datum
- leverans
- Detektering
- DHL
- Miljö
- händelse
- utförande
- Förnamn
- Regeringar
- huvud
- Dölja
- Hög
- HTTPS
- infektion
- informationen
- integrering
- IP
- IT
- Juli
- Labs
- lansera
- lanserar
- LINK
- Lista
- lokal
- Lång
- Maskiner
- Makro
- malware
- Microsoft
- Mission
- nät
- öppet
- Övriga
- PC
- PC
- Nätfiske
- Power
- presentera
- privat
- Produkter
- allmän
- forskning
- Resurser
- rinnande
- säkerhet
- Säkerhetsprogramvara
- Shell
- So
- Mjukvara
- spridning
- igång
- start
- Ange
- världen
- Tänkande
- tid
- Stam
- Trojan
- Litar
- användare
- Virtuell
- virtuell maskin
- världen
- skrivning
