זמן קריאה: 4 דקות
אם תבקשו מנתח תוכנות זדוניות למנות את הסוסים הטרויאנים המסוכנים והמרושעים ביותר, Emotet בהחלט יהיה נוכח ברשימה. לפי נתוני הלאומי אבטחת סייבר ומרכז שילוב תקשורת, ה טרויאני "ממשיך להיות בין התוכנות הזדוניות היקרות וההרסניות ביותר שמשפיעות על ממשלות מדינתיות, מקומיות, שבטיות וטריטוריאליות ועל המגזר הפרטי והציבורי". ערמומי וערמומי, הוא מתפשט באופן מאסיבי ברחבי העולם. מתקפה עצומה חדשה בת 4 ימים של Emotet יורטה על ידי מתקני Comodo נגד תוכנות זדוניות.
המתקפה החלה עם דוא"ל ההתחזות שנשלח ל-28,294 משתמשים.
כפי שאתה יכול לראות, האימייל מחקה את הודעת המשלוח והמשלוח של DHL. שם המותג המפורסם משמש ככלי לעורר אמון במשתמשים. גם גורם הסקרנות משחק את תפקידו, כך שהסיכוי שנפגע ילחץ על הקישור במייל מבלי לחשוב הרבה הוא גבוה מאוד. וברגע שקורבן לוחץ על הקישור, הקסם השחור של התוקפים בא לשחק.
לחיצה על הקישור מפעילה הורדת קובץ וורד. כמובן, לקובץ Word אין שום קשר לאספקה כלשהי - מלבד מסירה של תוכנות זדוניות. הוא מכיל קוד מאקרו זדוני. מכיוון שכיום מיקרוסופט מכבה פקודות מאקרו כברירת מחדל במוצרים שלה, התוקפים צריכים להערים על משתמשים להפעיל גרסה ישנה יותר. זו הסיבה שכאשר קורבן מנסה לפתוח את הקובץ, הבאנר הבא מופיע.
אם משתמש מציית לבקשת התוקפים, סקריפט המאקרו מגיע למשימתו - בנייה מחדש של קוד מעטפת מעורפל לביצוע של cmd.exe
לאחר בנייה מחדש של הקוד המעורפל, cmd.exe מפעיל את PowerShell, וה-PowerShell מנסה להוריד ולהפעיל קובץ בינארי מכל כתובת אתר זמינה מהרשימה:
-http://deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
בזמן הכתיבה, רק האחרון הכיל קובץ בינארי, 984.exe.
הבינארי, כפי שאתה יכול לנחש, הוא דוגמה של Emotet Banker Trojan.
לאחר הביצוע, הבינארי מציב את עצמו ב-C:WindowsSysWOW64montanapla.exe.
לאחר מכן, הוא יוצר שירות בשם montanapla המבטיח שהתהליך הזדוני יושק בכל הפעלה.
בנוסף, הוא מנסה להתחבר לשרתי Command&Control (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100) כדי ליידע את התוקפים על הקורבן החדש. ואז התוכנה הזדונית ממתינה לפקודות התוקפים.
כעת נוצר החיבור המרוחק הסמוי עם שרת Command&Control. Emotet ממתין, מוכן לבצע כל פקודה מהתוקפים. בדרך כלל, הוא מוציא נתונים פרטיים על המכונה הנגועה; מידע בנקאי הוא בראש סדר העדיפויות. אבל זה לא הכל. Emotet משמש גם כאמצעי לספק רבים אחרים סוגים של תוכנות זדוניות למכונות הנגועות. כך הדבקה ב-Emotet יכולה להפוך רק לחולייה הראשונה בשרשרת של הפגיעה האינסופית במחשב של הקורבן עם תוכנות זדוניות שונות.
אבל Emotet לא מסתפק בפגיעה במחשב אחד בלבד. הוא מנסה להדביק מארחים אחרים ברשת. בנוסף, ל-Emotet יכולות חזקות להסתיר ולעקוף כלים נגד תוכנות זדוניות. בהיותו פולימורפי, הוא נמנע מזיהוי מבוסס חתימה על ידי אנטי-וירוסים. כמו כן, Emotet מסוגל לזהות סביבת מכונה וירטואלית ולהסוות את עצמה באמצעות יצירת אינדיקטורים כוזבים. כל זה עושה את זה קשה עבור תוכנת אבטחה.
"במקרה הזה, התמודדנו עם מתקפה מסוכנת מאוד עם השלכות מרחיקות לכת", אומר פאטיח אורהן, ראש מעבדות המחקר לאיומים של קומודו. "ברור שהתקפות עצומות כאלה מכוונות להדביק כמה שיותר משתמשים, אבל זה רק קצה הקרחון.
הדבקת קורבנות ב-Emotet רק מפעילה את התהליך ההרסני. ראשית, הוא מדביק מארחים אחרים ברשת. שנית, הוא מוריד סוגים אחרים של תוכנות זדוניות, כך שתהליך ההדבקה של המחשבים הנפגעים הופך אינסופי וגדל באופן אקספוננציאלי. על ידי עצירת ההתקפה המאסיבית הזו, קומודו הגן על עשרות אלפי משתמשים מהתוכנה הזדונית הערמומית הזו וחתכה את שרשרת ההרג של התוקפים. המקרה הזה הוא אישור נוסף לכך שהלקוחות שלנו מוגנים אפילו מפני ההתקפות המסוכנות והחזקות ביותר".
חיה מאובטחת עם קומודו!
מפת החום וכתובות ה-IP ששימשו בהתקפה
המתקפה בוצעה משלושה כתובות IP מבוססות קפריסין ומהדומיין @tekdiyar.com.tr. זה התחיל ב-23 ביולי 2018 בשעה 14:17:55 UTC והסתיים ב-27 ביולי 2018 בשעה 01:06:00.
התוקפים שלחו 28.294 הודעות דיוג.
מקורות קשורים:
להתחיל ניסיון ללא תשלום קבלו את כרטיס האבטחה המיידי בחינם
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- Platoblockchain. Web3 Metaverse Intelligence. ידע מוגבר. גישה כאן.
- מקור: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2018
- 2019
- 28
- a
- יכולות
- יכול
- אודות
- פי
- תוספת
- משפיע
- תעשיות
- בין
- מנתח
- ו
- אנטי וירוס
- סביב
- לתקוף
- המתקפות
- זמין
- בַּנקָאִי
- בנקאות
- באנר
- להיות
- הופך להיות
- החל
- להיות
- שחור
- בלוג
- מותג
- מקרה
- מרכז
- שרשרת
- סיכויים
- קוד
- COM
- תקשורת
- התפשר
- מתפשר
- המחשב
- לְחַבֵּר
- הקשר
- מכיל
- לִשְׁלוֹט
- קורס
- יוצר
- סקרנות
- לקוחות
- חותך
- סייבר
- אבטחת סייבר
- מסוכן
- נתונים
- בְּרִירַת מֶחדָל
- בהחלט
- למסור
- מסירה
- איתור
- הרסנית
- תחום
- להורדה
- הורדות
- אמייל
- מיילים
- אין סופי
- מבטיח
- סביבה
- נוסד
- אֲפִילוּ
- אירוע
- כל
- אלא
- לבצע
- הוצאת להורג
- אקספוננציאלית
- מתמודד
- מפורסם
- מרחיק לכת
- שלח
- ראשון
- הבא
- חופשי
- החל מ-
- יצירת
- לקבל
- ממשלות
- גדל
- קשה
- ראש
- הסתר
- גָבוֹהַ
- HTTPS
- עָצוּם
- in
- אינדיקטורים
- מידע
- לעורר
- מיידי
- השתלבות
- IP
- IT
- עצמו
- יולי
- יולי 23
- מעבדות
- אחרון
- לשגר
- השקות
- קשר
- רשימה
- מקומי
- ארוך
- מגרש
- מכונה
- מכונה
- מאקרו
- פקודות מאקרו
- קסם
- עושה
- תוכנות זדוניות
- רב
- מסיבי
- באופן מאסיבי
- max-width
- אומר
- הודעה
- מיקרוסופט
- משימה
- רֶגַע
- יותר
- רוב
- שם
- שם
- לאומי
- צורך
- רשת
- חדש
- ONE
- לפתוח
- אחר
- PC
- מחשבים
- דיוג
- PHP
- מקומות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- לְשַׂחֵק
- אפשרי
- חזק
- PowerShell
- להציג
- עדיפות
- פְּרָטִי
- תהליך
- מוצרים
- מוּגָן
- ציבורי
- מוכן
- מרחוק
- לבקש
- מחקר
- משאבים
- תפקיד
- ריצה
- מרוצה
- מרוצה מ
- כרטיס ניקוד
- שְׁנִיָה
- לבטח
- אבטחה
- שרתים
- משמש
- שרות
- פָּגָז
- מִתגַנֵב
- So
- תוכנה
- התפשטות
- החל
- סטארט - אפ
- מדינה
- סְתִימָה
- חזק
- כזה
- ממוקד
- השמיים
- העולם
- חושב
- אלפים
- איום
- שְׁלוֹשָׁה
- זמן
- טיפ
- ל
- כלי
- כלים
- טרויאני
- סומך
- סוגים
- כתובת האתר
- משתמש
- משתמשים
- בְּדֶרֶך כְּלַל
- UTC
- שונים
- גרסה
- קרבן
- קורבנות
- וירטואלי
- מכונה וירטואלית
- הַמתָנָה
- יצטרך
- לְלֹא
- Word
- עוֹלָם
- כתיבה
- אתה
- זפירנט