Temps de lecture : 4 minutes
Si vous demandez à un analyste de malware de nommer les chevaux de Troie les plus dangereux et les plus néfastes, Emotet sera définitivement présent dans la liste. Selon le National Cybersécurité et Centre d'intégration des communications, troyen «Continue de figurer parmi les programmes malveillants les plus coûteux et les plus destructeurs affectant les gouvernements des États, locaux, tribaux et territoriaux, ainsi que les secteurs privé et public». Rusé et sournois, il est massivement répandu dans le monde. Une nouvelle attaque de 4 jours contre Emotet a été interceptée par les installations anti-programme malveillant de Comodo.
L'attaque a commencé avec l'e-mail de phishing envoyé à 28,294 XNUMX utilisateurs.
Comme vous pouvez le voir, l'e-mail imite le message d'expédition et de livraison DHL. Le célèbre nom de marque sert d'outil pour inspirer confiance aux utilisateurs. Le facteur de curiosité joue également son rôle, donc les chances qu'une victime clique sur le lien dans l'e-mail sans trop y penser sont très élevées. Et au moment où une victime clique sur le lien, la magie noire des attaquants vient jouer.
Cliquer sur le lien lance le téléchargement d'un fichier Word. Bien sûr, le fichier Word n'a rien à voir avec une livraison - à l'exception de la livraison de logiciels malveillants. Il contient un code macro malveillant. Comme de nos jours, Microsoft désactive l'exécution des macros par défaut dans ses produits, les attaquants doivent inciter les utilisateurs à exécuter une ancienne version. C'est pourquoi lorsqu'une victime tente d'ouvrir le fichier, la bannière suivante apparaît.
Si un utilisateur obéit à la demande des attaquants, le script de macro arrive à sa mission - reconstruire un code shell obscurci pour l'exécution de cmd.exe
Après avoir reconstruit le code obscurci, cmd.exe lance PowerShell et le PowerShell essaie de télécharger et d'exécuter un binaire à partir de n'importe quelle URL disponible de la liste:
-http: //deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
Au moment de la rédaction, seul le dernier contenait un binaire, 984.exe.
Comme vous pouvez le deviner, le binaire est un échantillon de Cheval de Troie Emotet Banker.
Une fois exécuté, le binaire se place dans C: WindowsSysWOW64montanapla.exe.
Après cela, il crée un service nommé montanapla qui garantit que le processus malveillant se lancera à chaque démarrage.
De plus, il essaie de se connecter aux serveurs Command & Control (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) pour informer les attaquants de la nouvelle victime. Ensuite, le malware attend les commandes des attaquants.
La connexion à distance secrète avec le serveur Command & Control est maintenant établie. Emotet attend, prêt à exécuter n'importe quelle commande des attaquants. Habituellement, il récupère les données privées sur la machine infectée; les informations bancaires sont une priorité. Mais ce n'est pas tout. Emotet est également utilisé comme un moyen de fournir de nombreux autres types de malware aux machines infectées. Ainsi, l'infection avec Emotet peut devenir le premier maillon de la chaîne de l'infini compromettant l'ordinateur de la victime avec divers logiciels malveillants.
Mais Emotet ne se contente pas de compromettre un seul PC. Il essaie d'infecter d'autres hôtes du réseau. En outre, Emotet a de fortes capacités pour masquer et contourner les outils anti-programme malveillant. Étant polymorphe, il évite la détection basée sur les signatures par antivirus. En outre, Emotet est capable de détecter un environnement de machine virtuelle et de se déguiser en générant de faux indicateurs. Tout cela en fait un écrou dur pour un logiciel de sécurité.
«Dans ce cas, nous avons été confrontés à une attaque très dangereuse aux implications profondes», explique Fatih Orhan, directeur des laboratoires de recherche sur les menaces de Comodo. «De toute évidence, ces attaques immenses visent à infecter autant d'utilisateurs que possible, mais ce n'est qu'une partie de l'iceberg.
Infecter les victimes avec Emotet déclenche simplement le processus dévastateur. Tout d'abord, il infecte d'autres hôtes du réseau. Deuxièmement, il télécharge d'autres types de logiciels malveillants, de sorte que le processus d'infection des PC compromis devient sans fin et croît de façon exponentielle. En arrêtant cette attaque massive, Comodo a protégé des dizaines de milliers d'utilisateurs de ce malware malicieux et a coupé la chaîne de mise à mort des attaquants. Ce cas est une confirmation de plus que nos clients sont protégés même contre les attaques les plus dangereuses et les plus puissantes ».
Vivez en toute sécurité avec Comodo!
La carte thermique et les IP utilisées dans l'attaque
L'attaque a été menée à partir de trois adresses IP basées à Chypre et du domaine @ tekdiyar.com.tr. Il a commencé le 23 juillet 2018 à 14:17:55 UTC et s'est terminé le 27 juillet 2018 à 01:06:00.
Les attaquants ont envoyé 28.294 XNUMX e-mails de phishing.
Ressources associées:
COMMENCER L'ESSAI GRATUIT OBTENEZ GRATUITEMENT VOTRE SCORECARD DE SÉCURITÉ INSTANTANÉE
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- Platoblockchain. Intelligence métaverse Web3. Connaissance Amplifiée. Accéder ici.
- La source: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2018
- 2019
- 28
- a
- capacités
- Capable
- Qui sommes-nous
- Selon
- ajout
- affectant
- Tous
- parmi
- analyste
- ainsi que le
- antivirus
- autour
- attaquer
- Attaques
- disponibles
- banquier
- Services bancaires
- bannière
- devenez
- devient
- a commencé
- va
- Noir
- Blog
- brand
- maisons
- Canaux centraux
- chaîne
- chances
- code
- COM
- Communications
- Compromise
- compromettre
- ordinateur
- NOUS CONTACTER
- connexion
- contient
- des bactéries
- Cours
- crée des
- curiosité
- Clients
- Cut/Taille
- cyber
- la cyber-sécurité
- dangereux
- données
- Réglage par défaut
- certainement, vraiment, définitivement
- livrer
- page de livraison.
- Détection
- dévastateur
- domaine
- download
- téléchargements
- emails
- Endless
- Assure
- Environment
- établies
- Pourtant, la
- événement
- Chaque
- Sauf
- exécuter
- exécution
- exponentielle
- face
- célèbre
- d'une grande portée
- Déposez votre dernière attestation
- Prénom
- Abonnement
- Test d'anglais
- de
- générateur
- obtenez
- Gouvernements
- Pousse
- Dur
- front
- Cacher
- Haute
- HTTPS
- immense
- in
- Indicateurs
- d'information
- inspirer
- instantané
- l'intégration
- IP
- IT
- lui-même
- Juillet
- Juillet 2023
- Labs
- Nom de famille
- lancer
- lance
- LINK
- Liste
- locales
- Location
- Lot
- click
- Les machines
- Macro
- macros
- la magie
- FAIT DU
- malware
- de nombreuses
- massif
- massivement
- largeur maximale
- veux dire
- message
- Microsoft
- Mission
- moment
- PLUS
- (en fait, presque toutes)
- prénom
- Nommé
- Nationales
- Besoin
- réseau et
- Nouveauté
- ONE
- ouvert
- Autre
- PC
- PC
- phishing
- PHP
- Des endroits
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Jouez
- possible
- solide
- PowerShell
- représentent
- priorité
- Privé
- processus
- Produits
- protégé
- public
- solutions
- éloigné
- nécessaire
- un article
- Ressources
- Rôle
- pour le running
- satisfait
- satisfait avec
- fiche d'évaluation
- Deuxièmement
- sécurisé
- sécurité
- Serveurs
- sert
- service
- coquillage
- Sournois
- So
- Logiciels
- propagation
- j'ai commencé
- Commencez
- Région
- arrêt
- STRONG
- tel
- des campagnes marketing ciblées,
- Les
- le monde
- En pensant
- milliers
- menace
- trois
- fiable
- pointe
- à
- outil
- les outils
- Trojan
- La confiance
- types
- URL
- Utilisateur
- utilisateurs
- d'habitude
- UTC
- divers
- version
- Victime
- victimes
- Salle de conférence virtuelle
- machine virtuelle
- Attendre
- sera
- sans
- Word
- world
- écriture
- Vous n'avez
- Votre
- zéphyrnet
