התקפה אדירה חדשה של אלפי משתמשים ממוקדים בטרויאנים

זמן קריאה: 4 דקות

אם תבקשו מנתח תוכנות זדוניות למנות את הסוסים הטרויאנים המסוכנים והמרושעים ביותר, Emotet בהחלט יהיה נוכח ברשימה. לפי נתוני הלאומי אבטחת סייבר ומרכז שילוב תקשורת, ה טרויאני "ממשיך להיות בין התוכנות הזדוניות היקרות וההרסניות ביותר שמשפיעות על ממשלות מדינתיות, מקומיות, שבטיות וטריטוריאליות ועל המגזר הפרטי והציבורי". ערמומי וערמומי, הוא מתפשט באופן מאסיבי ברחבי העולם. מתקפה עצומה חדשה בת 4 ימים של Emotet יורטה על ידי מתקני Comodo נגד תוכנות זדוניות.

המתקפה החלה עם דוא"ל ההתחזות שנשלח ל-28,294 משתמשים.

כפי שאתה יכול לראות, האימייל מחקה את הודעת המשלוח והמשלוח של DHL. שם המותג המפורסם משמש ככלי לעורר אמון במשתמשים. גם גורם הסקרנות משחק את תפקידו, כך שהסיכוי שנפגע ילחץ על הקישור במייל מבלי לחשוב הרבה הוא גבוה מאוד. וברגע שקורבן לוחץ על הקישור, הקסם השחור של התוקפים בא לשחק.

לחיצה על הקישור מפעילה הורדת קובץ וורד. כמובן, לקובץ Word אין שום קשר לאספקה ​​כלשהי - מלבד מסירה של תוכנות זדוניות. הוא מכיל קוד מאקרו זדוני. מכיוון שכיום מיקרוסופט מכבה פקודות מאקרו כברירת מחדל במוצרים שלה, התוקפים צריכים להערים על משתמשים להפעיל גרסה ישנה יותר. זו הסיבה שכאשר קורבן מנסה לפתוח את הקובץ, הבאנר הבא מופיע.

אם משתמש מציית לבקשת התוקפים, סקריפט המאקרו מגיע למשימתו - בנייה מחדש של קוד מעטפת מעורפל לביצוע של cmd.exe

לאחר בנייה מחדש של הקוד המעורפל, cmd.exe מפעיל את PowerShell, וה-PowerShell מנסה להוריד ולהפעיל קובץ בינארי מכל כתובת אתר זמינה מהרשימה:

-http://deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR

בזמן הכתיבה, רק האחרון הכיל קובץ בינארי, 984.exe.

הבינארי, כפי שאתה יכול לנחש, הוא דוגמה של Emotet Banker Trojan.

לאחר הביצוע, הבינארי מציב את עצמו ב-C:WindowsSysWOW64montanapla.exe.

לאחר מכן, הוא יוצר שירות בשם montanapla המבטיח שהתהליך הזדוני יושק בכל הפעלה.

בנוסף, הוא מנסה להתחבר לשרתי Command&Control (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) כדי ליידע את התוקפים על הקורבן החדש. ואז התוכנה הזדונית ממתינה לפקודות התוקפים.

כעת נוצר החיבור המרוחק הסמוי עם שרת Command&Control. Emotet ממתין, מוכן לבצע כל פקודה מהתוקפים. בדרך כלל, הוא מוציא נתונים פרטיים על המכונה הנגועה; מידע בנקאי הוא בראש סדר העדיפויות. אבל זה לא הכל. Emotet משמש גם כאמצעי לספק רבים אחרים סוגים של תוכנות זדוניות למכונות הנגועות. כך הדבקה ב-Emotet יכולה להפוך רק לחולייה הראשונה בשרשרת של הפגיעה האינסופית במחשב של הקורבן עם תוכנות זדוניות שונות.

אבל Emotet לא מסתפק בפגיעה במחשב אחד בלבד. הוא מנסה להדביק מארחים אחרים ברשת. בנוסף, ל-Emotet יכולות חזקות להסתיר ולעקוף כלים נגד תוכנות זדוניות. בהיותו פולימורפי, הוא נמנע מזיהוי מבוסס חתימה על ידי אנטי-וירוסים. כמו כן, Emotet מסוגל לזהות סביבת מכונה וירטואלית ולהסוות את עצמה באמצעות יצירת אינדיקטורים כוזבים. כל זה עושה את זה קשה עבור תוכנת אבטחה.

"במקרה הזה, התמודדנו עם מתקפה מסוכנת מאוד עם השלכות מרחיקות לכת", אומר פאטיח אורהן, ראש מעבדות המחקר לאיומים של קומודו. "ברור שהתקפות עצומות כאלה מכוונות להדביק כמה שיותר משתמשים, אבל זה רק קצה הקרחון.

הדבקת קורבנות ב-Emotet רק מפעילה את התהליך ההרסני. ראשית, הוא מדביק מארחים אחרים ברשת. שנית, הוא מוריד סוגים אחרים של תוכנות זדוניות, כך שתהליך ההדבקה של המחשבים הנפגעים הופך אינסופי וגדל באופן אקספוננציאלי. על ידי עצירת ההתקפה המאסיבית הזו, קומודו הגן על עשרות אלפי משתמשים מהתוכנה הזדונית הערמומית הזו וחתכה את שרשרת ההרג של התוקפים. המקרה הזה הוא אישור נוסף לכך שהלקוחות שלנו מוגנים אפילו מפני ההתקפות המסוכנות והחזקות ביותר".

חיה מאובטחת עם קומודו!

מפת החום וכתובות ה-IP ששימשו בהתקפה

המתקפה בוצעה משלושה כתובות IP מבוססות קפריסין ומהדומיין @tekdiyar.com.tr. זה התחיל ב-23 ביולי 2018 בשעה 14:17:55 UTC והסתיים ב-27 ביולי 2018 בשעה 01:06:00.
התוקפים שלחו 28.294 הודעות דיוג.

מקורות קשורים:

מנקה וירוסים

תוכנת אנטי-וירוס

וירוס מחשב

הטוב ביותר אנטי וירוס תוכנה

להתחיל ניסיון ללא תשלום קבלו את כרטיס האבטחה המיידי בחינם

• הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
• Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
• מקור: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/