حمله جدید و گسترده تروجان Emotet هزاران کاربر را هدف قرار داده است

زمان خواندن: 4 دقیقه

اگر از یک تحلیلگر بدافزار بخواهید خطرناک ترین و شرورترین تروجان ها را نام ببرد، Emotet قطعا در لیست حضور خواهد داشت. به گزارش ملی امنیت سایبری و مرکز یکپارچه سازی ارتباطات، تروجان همچنان یکی از پرهزینه‌ترین و مخرب‌ترین بدافزارهایی است که بر دولت‌های ایالتی، محلی، قبیله‌ای و سرزمینی و بخش‌های خصوصی و عمومی تأثیر می‌گذارد.» حیله گر و حیله گر، به طور گسترده در سراسر جهان پخش شده است. حمله جدید 4 روزه Emotet توسط تاسیسات ضد بدافزار Comodo رهگیری شد.

این حمله با ارسال ایمیل فیشینگ به ۲۸۲۹۴ کاربر آغاز شد.

همانطور که می بینید، ایمیل پیام ارسال و تحویل DHL را تقلید می کند. نام تجاری معروف به عنوان ابزاری برای ایجاد اعتماد در کاربران عمل می کند. فاکتور کنجکاوی نیز نقش خود را ایفا می کند، بنابراین احتمال اینکه قربانی بدون فکر زیاد روی لینک موجود در ایمیل کلیک کند بسیار زیاد است. و لحظه ای که قربانی روی لینک کلیک می کند، جادوی سیاه مهاجمان بازی می کند.

با کلیک بر روی لینک دانلود فایل Word اجرا می شود. البته، فایل Word هیچ ارتباطی با هیچ تحویلی ندارد - به جز تحویل بدافزار. این شامل یک کد ماکرو مخرب است. از آنجایی که امروزه مایکروسافت اجرای ماکروها را به طور پیش فرض در محصولات خود خاموش می کند، مهاجمان باید کاربران را فریب دهند تا نسخه قدیمی تر را اجرا کنند. به همین دلیل است که وقتی قربانی می خواهد فایل را باز کند، بنر زیر ظاهر می شود.

اگر کاربر از درخواست مهاجمان پیروی کند، اسکریپت ماکرو به ماموریت خود می رسد - بازسازی یک کد پوسته مبهم برای اجرای cmd.exe

پس از بازسازی کد مبهم، cmd.exe PowerShell را راه اندازی می کند و PowerShell سعی می کند یک باینری را از هر URL موجود در لیست دانلود و اجرا کند:

-http://deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR

در زمان نگارش، تنها آخرین مورد حاوی یک باینری، 984.exe بود.

باینری، همانطور که ممکن است حدس بزنید، نمونه ای از آن است تروجان Emotet Banker.

پس از اجرا، باینری خود را در C:WindowsSysWOW64montanapla.exe قرار می دهد.

پس از آن، سرویسی به نام montanapla ایجاد می کند که تضمین می کند فرآیند مخرب با هر راه اندازی راه اندازی می شود.

علاوه بر این، سعی می کند با سرورهای Command&Control (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) ارتباط برقرار کند تا مهاجمان را در مورد قربانی جدید مطلع کند. سپس بدافزار منتظر دستورات مهاجمان می ماند.

اکنون ارتباط مخفی از راه دور با سرور Command&Control برقرار شده است. Emotet منتظر است، آماده اجرای هر فرمانی از سوی مهاجمان است. معمولاً، داده‌های خصوصی را در دستگاه آلوده منتشر می‌کند. اطلاعات بانکی در اولویت است. اما این همه ماجرا نیست. Emotet همچنین به عنوان وسیله ای برای ارائه بسیاری دیگر استفاده می شود انواع بدافزار به ماشین های آلوده بنابراین آلوده شدن به Emotet می تواند تنها اولین حلقه در زنجیره خطر بی پایان رایانه قربانی با بدافزارهای مختلف باشد.

اما Emotet به به خطر انداختن تنها یک رایانه راضی نیست. سعی می کند میزبان های دیگر شبکه را آلوده کند. علاوه بر این، Emotet توانایی های قوی برای پنهان کردن و دور زدن ابزارهای ضد بدافزار دارد. چند شکلی بودن، از تشخیص مبتنی بر امضا توسط آنتی ویروس ها. همچنین Emotet قادر است محیط ماشین مجازی را تشخیص دهد و با تولید نشانگرهای نادرست خود را پنهان کند. همه اینها آن را به یک مهره سخت برای یک نرم افزار امنیتی تبدیل می کند.

فاتح اورهان، رئیس آزمایشگاه تحقیقاتی تهدید کومودو، می گوید: «در این مورد، ما با یک حمله بسیار خطرناک با پیامدهای گسترده مواجه شدیم. بدیهی است که چنین حملات عظیمی با هدف آلوده کردن هرچه بیشتر کاربران ممکن است، اما این تنها یک نقطه از کوه یخ است.

آلوده کردن قربانیان با Emotet فقط باعث شروع روند ویرانگر می شود. ابتدا میزبان های دیگر شبکه را آلوده می کند. دوم، انواع دیگر بدافزارها را دانلود می‌کند، بنابراین فرآیند آلودگی رایانه‌های شخصی در معرض خطر بی‌پایان می‌شود و به‌طور تصاعدی رشد می‌کند. Comodo با توقف این حمله عظیم، ده ها هزار کاربر را از این بدافزار حیله گر محافظت کرد و زنجیره کشتار مهاجمان را قطع کرد. این مورد تأیید دیگری است که مشتریان ما حتی در برابر خطرناک ترین و قدرتمندترین حملات محافظت می شوند.

با Comodo امن زندگی کنید!

نقشه حرارتی و IP های مورد استفاده در حمله

این حمله از سه IP مستقر در قبرس و دامنه @tekdiyar.com.tr انجام شد. در 23 جولای 2018 ساعت 14:17:55 UTC آغاز شد و در 27 جولای 2018 ساعت 01:06:00 به پایان رسید.
مهاجمان 28.294 ایمیل فیشینگ ارسال کردند.

منابع مرتبط:

پاک کننده ویروس

آنتی ویروس نرم افزار

ویروس کامپیوتری

بهترین نرم افزار آنتی ویروس

آزمایش رایگان را شروع کنید کارت امتیازی امنیتی فوری خود را به صورت رایگان دریافت کنید

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
• منبع: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/