Læsetid: 4 minutter
Cyberkriminelle er glade for festdatoer som Thanksgiving Day - men ikke af samme grund, som opstående mennesker gør. For gerningsmændene er det det foretrukne tidspunkt at angribe. Hvorfor? Fordi folk er indstillet på behagelige og gode tanker og følelser på sådanne dage. Desværre gør det dem mere sårbare. Når de ser et velkomstbrev i indbakken, føler de taknemmelighed og nysgerrighed - hvem har sendt det? - og klikker på den vedhæftede fil uden at tænke på potentiel fare.
På tærsklen til denne Thanksgiving-dag opsnappede Comodo-specialister et snedigt angreb, der havde til formål at udbrede en af de i øjeblikket mest ondsindede malware - Emotet trojan, der normalt bruges til at stjæle bankoplysninger og andre private oplysninger.
Normalt spredte denne malware sig for det meste som en finansrelateret e-mail som en besked fra en bank. Her er et eksempel på en sådan e-mail opsnappet af Comodo-faciliteter.
Som du kan se, brugte angriberne velforberedte falske i stand til at bedrage selv sikkerhedsbevidste brugere. Linket i e-mailen fører til "rozdroza.com/En_us/Clients_Messages/11_18" URL. Hvis en bruger klikker på linket, falder den forgiftede Microsoft Office-dokumentfil automatisk på hendes maskine.
Men på tærsklen til Thanksgiving-dagen besluttede gerningsmændene at lave noget særligt og skjule den inficerede fil som et lykønskningskort. Nedenfor er prøverne af phishing-e-mails de bruger i det nye angreb.
Som du kan se, er disse e-mails også omhyggeligt udarbejdet for at se plausible ud. De har forskelligt indhold, men i alle tilfælde er det bygget til at inspirere til behagelige og varme følelser hos ofrene. Hvad enten det er en hjertelig hilsen, beundring af en kollega eller endda et stykke poesi, vækker det en god stemning hos ofrene og svækker dermed deres årvågenhed.
Citaterne af fantastiske mennesker i bunden af beskederne bruges også til at skabe tillid til ofrene, hvilket øger chancerne for, at de vil åbne dokumentet - og lade fjenden komme i huset. I virkeligheden er "lykønskningskort" et Word-dokument, der er inficeret med Emotet.
Lad os se på hele den dræbende kæde af denne snedige malware.
Den inficerede fil har indlejret makroscript. Når en bruger åbner et "lykønskningskort", downloader makroerne Emotet på offerets maskine.
Først bliver brugeren instrueret i at aktivere udførelse af makroindhold, da dokumentet indeholder en VBA-stream designet til at downloade og udføre malwaren.
Hvis brugeren tillader det aktive indhold at køre, vil koden kalde cmd.exe med ændrede parametre, der vil kalde igen cmd.exe med slørede parametre, som endelig sender et script til powershell.exe designet til at downloade og køre binære filer fra internettet.
De slørede parametre, der bruges til at starte cmd.exe er gemt i en tekstboks, der er ændret til at være umærkelig for offeret.
Derefter undersøger scriptet fem steder for at downloade Emotet: anora71.uz/aH3i9EM, egyptmotours.com/EfRRkqPucD, friskyeliquid.com/xspcYyA63, m3produtora.com/QOlBVnrL40, litsey4.ru/V5XLXxDubY.
Derefter downloader den malwaren til brugerens Midlertidig mappe og udfører den. Emotet flytter sig til C:WindowsSysWOW64cachingplain.exe og opretter en service til at køre under systemstart.
Den nyoprettede tjeneste opretter forbindelse til C&C-serveren for at informere om tilgængelighed og modtage kommandoer.
Fra dette øjeblik er den inficerede maskine under total kontrol af angriberne. De kan udtrække brugernes legitimationsoplysninger, bankoplysninger og andre private oplysninger fra pc'en og fortsætte angrebet ved at downloade andre typer malware.
"Angrebet er en kompliceret forgiftet sammensmeltning af raffinerede velforklædte malware og psykologiske manipulationstricks", siger Fatih Orhan, lederen af Comodo Threat Research Labs. "Det er ikke kun farligt og ødelæggende fra et teknisk synspunkt, men især kynisk og umoralsk på grund af at udnytte folks lyse følelser i en storslået ferie. Det er altid slemt at blive bestjålet, men det er meget værre at blive bestjålet i sådan en fantastisk ferie og bevidst om, at gerningsmændene brugte dine egne klare følelser imod dig. Jeg er virkelig glad for, at vi beskyttede vores kunder mod disse smertefulde konsekvenser og ikke lod gerningsmændene ødelægge en fejring af sådan en storslået dag”.
Heatmap og detaljer om angrebet
Angrebet startede den 19. november 2018 kl. 18:34:12 og fortsatte i det øjeblik, denne artikel blev oprettet. Det blev udført fra 26 IP'er fra 10 lande. 108 phishing-e-mails bliver opdaget i øjeblikket, og angrebet vil angiveligt nå sit højdepunkt på Thanksgiving day.
Landene involveret i angrebet og antallet af e-mails sendt pr. land
Varmekortet
Lev sikkert med Comodo!
START GRATIS PRØVNING FÅ DIT ØJEBLIKKE SIKKERHEDSSCORECARD GRATIS
- SEO Powered Content & PR Distribution. Bliv forstærket i dag.
- PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
- PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
- PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
- PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
- Kilde: https://blog.comodo.com/comodo-news/poisoned-gift-for-thanksgiving-day-a-new-disguise-to-break-into-your-bank-account/
- :har
- :er
- :ikke
- 10
- 118
- 12
- 19
- 2018
- 26 %
- 362
- a
- I stand
- Om
- Konto
- aktiv
- igen
- mod
- Rettet
- tillader
- også
- altid
- an
- ,
- ER
- artikel
- AS
- At
- angribe
- automatisk
- tilgængelighed
- opmærksom på
- Bad
- Bank
- bankkonto
- Bank
- BE
- fordi
- jf. nedenstående
- Blog
- Bund
- Pause
- Bright
- bygge
- men
- by
- ringe
- CAN
- kort
- omhyggeligt
- tilfælde
- Celebration
- kæde
- odds
- klik
- kode
- kollega
- kompliceret
- gennemført
- forbinder
- Konsekvenser
- indeholder
- indhold
- fortsæt
- fortsættende
- kontrol
- lande
- oprettet
- skaber
- Oprettelse af
- KREDENTIAL
- Legitimationsoplysninger
- nysgerrighed
- For øjeblikket
- Kunder
- FARE
- Dangerous
- Datoer
- dag
- Dage
- besluttede
- konstrueret
- detaljer
- forskellige
- opdaget
- do
- dokumentet
- downloade
- downloading
- downloads
- Drops
- i løbet af
- emails
- indlejret
- følelser
- muliggøre
- især
- eve
- Endog
- begivenhed
- Hver
- eksempel
- udføre
- Udfører
- udførelse
- udnytte
- ekstrakt
- faciliteter
- falsk
- Favorit
- føler sig
- følelser
- File (Felt)
- filtrering
- Endelig
- fem
- Til
- Gratis
- fra
- få
- gave
- godt
- grand
- taknemmelighed
- stor
- hilsen
- Have
- hoved
- hende
- link.
- Ferie
- hus
- HTTPS
- Umoralsk
- in
- inficeret
- oplysninger
- inspirere
- øjeblikkelig
- Internet
- ind
- involverede
- IT
- ITS
- selv
- drab
- Labs
- lancere
- Leads
- lad
- brev
- ligesom
- LINK
- placeringer
- Se
- maskine
- Makro
- makroer
- lave
- maerker
- malware
- Håndtering
- max-bredde
- Flet
- besked
- beskeder
- microsoft
- modificeret
- øjeblik
- mere
- mest
- for det meste
- bevæger sig
- meget
- Ny
- nyligt
- november
- nt
- nummer
- of
- Office
- on
- ONE
- kun
- åbent
- åbner
- or
- Andet
- vores
- ud
- egen
- smertefulde
- parametre
- passerer
- PC
- Peak
- Mennesker
- per
- Phishing
- PHP
- stykke
- plato
- Platon Data Intelligence
- PlatoData
- plausibel
- Poetry
- Punkt
- Synspunkt
- potentiale
- private
- privat information
- beskyttet
- psykologiske
- citater
- hæve
- nå
- Reality
- virkelig
- grund
- modtage
- raffinerede
- forskning
- Kør
- samme
- siger
- scorecard
- script
- sikker
- sikkerhed
- se
- send
- sendt
- server
- tjeneste
- noget
- spam
- særligt
- specialister
- spredes
- påbegyndt
- opstart
- opbevaret
- strøm
- sådan
- systemet
- Teknisk
- Thanksgiving
- at
- deres
- Them
- Disse
- de
- Tænker
- denne
- trussel
- Dermed
- tid
- til
- I alt
- Trojan
- Stol
- tunet
- typer
- under
- desværre
- anvendte
- Bruger
- ved brug af
- sædvanligvis
- VBA
- Victim
- ofre
- Specifikation
- årvågenhed
- Sårbar
- varm
- var
- we
- hvornår
- WHO
- Hele
- hvorfor
- vilje
- med
- uden
- ord
- arbejdede
- værre
- Du
- Din
- zephyrnet