読書の時間: 4 分
マルウェアアナリストに最も危険で悪質なトロイの木馬を指定するように依頼すると、Emotetは間違いなくリストに表示されます。 国民によると サイバーセキュリティ および通信統合センター、 トロイの 「州、地方、部族、および領土の政府、ならびに民間および公共部門に影響を与える最もコストがかかり、破壊的なマルウェアの4つであり続ける」。 狡猾で卑劣で、世界中に広まっています。 EmotetのXNUMX日間にわたる新しい巨大な攻撃は、Comodoマルウェア対策施設によって阻止されました。
攻撃は、28,294人のユーザーに送信されたフィッシングメールから始まりました。
ご覧のように、電子メールはDHLの出荷および配達メッセージを模倣しています。 この有名なブランド名は、ユーザーへの信頼を高めるためのツールとして機能します。 好奇心の要因もその役割を果たすため、被害者が多くのことを考えずにメールのリンクをクリックする可能性は非常に高いです。 そして、被害者がリンクをクリックした瞬間、攻撃者の黒魔術が始まります。
リンクをクリックすると、Wordファイルのダウンロードが実行されます。 もちろん、Wordファイルは、マルウェアの配信を除いて、配信とは何の関係もありません。 悪意のあるマクロコードが含まれています。 現在、マイクロソフトでは製品のマクロの実行をデフォルトで無効にしているため、攻撃者はユーザーをだまして古いバージョンを実行させる必要があります。 そのため、被害者がファイルを開こうとすると、次のバナーが表示されます。
ユーザーが攻撃者の要求に従うと、マクロスクリプトがその使命を果たします— cmd.exeを実行するための難読化されたシェルコードを再構築します
難読化されたコードを再構築した後、cmd.exeはPowerShellを起動し、PowerShellはリストから利用可能なURLからバイナリをダウンロードして実行しようとします。
-http://deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR
執筆時点では、最後の984つだけにバイナリXNUMX.exeが含まれていました。
バイナリは、ご想像のとおり、サンプルです。 Emotet Bankerトロイの木馬.
実行されると、バイナリは自身をC:WindowsSysWOW64montanapla.exeに配置します。
その後、悪質なプロセスが起動するたびに起動することを保証するmontanaplaという名前のサービスを作成します。
さらに、Command&Controlサーバー(181.142.74.233、204.184.25.164、79.129.120.103、93.88.93.100)に接続して、攻撃者に新しい被害者について通知しようとします。 次に、マルウェアは攻撃者のコマンドを待ちます。
これで、Command&Controlサーバーとの秘密のリモート接続が確立されました。 Emotetは待機しており、攻撃者からのコマンドを実行する準備ができています。 通常、感染したマシン上の個人データを探し出します。 銀行情報は優先事項です。 しかし、それだけではありません。 Emotetは、他の多くのサービスを提供する手段としても使用されます マルウェアの種類 感染したマシンに。 したがって、Emotetに感染することは、さまざまなマルウェアで被害者のコンピュータを危険にさらす無限の連鎖の最初のリンクにすぎません。
しかし、EmotetはXNUMX台のPCだけを危険にさらすことに満足していません。 ネットワーク内の他のホストへの感染を試みます。 さらに、Emotetにはマルウェア対策ツールを非表示にしてバイパスする強力な機能があります。 ポリモーフィックであるため、シグネチャベースの検出が回避されます。 アンチウイルス。 また、Emotetは仮想マシン環境を検出し、偽のインジケーターを生成して偽装することができます。 これらすべてが、セキュリティソフトウェアのハードナットになります。
「この場合、広範囲に及ぶ影響を伴う非常に危険な攻撃に直面しました」とComodo Threat Research Labsの責任者であるFatih Orhanは述べています。 「明らかに、このような巨大な攻撃は、できるだけ多くのユーザーを感染させることを目的としていますが、それは氷山の一角にすぎません。
Emotetで被害者に感染すると、壊滅的なプロセスが引き起こされます。 まず、ネットワーク内の他のホストに感染します。 次に、他の種類のマルウェアをダウンロードするため、侵入先のPCの感染プロセスは無限になり、指数関数的に増加します。 この大規模な攻撃を阻止することで、Comodoは何万人ものユーザーをこの狡猾なマルウェアから保護し、攻撃者の殺害連鎖を削減しました。 このケースは、最も危険で強力な攻撃からもお客様が保護されていることのもうXNUMXつの確認です。」
コモドで安全に暮らしましょう!
攻撃で使用されるヒートマップとIP
攻撃は、23つのキプロスベースのIPとドメイン@ tekdiyar.com.trから行われました。 2018年14月17日55:27:2018 UTCに開始し、01年06月00日XNUMX:XNUMX:XNUMXに終了しました。
攻撃者は28.294のフィッシングメールを送信しました。
関連リソース:
無料トライアルを開始 インスタントセキュリティのスコアカードを無料で入手
- SEO を活用したコンテンツと PR 配信。 今日増幅されます。
- Platoblockchain。 Web3メタバースインテリジェンス。 知識の増幅。 こちらからアクセスしてください。
- 情報源: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/
- 100
- 2018
- 2019
- 28
- a
- 能力
- できる
- 私たちについて
- 従った
- 添加
- 影響
- すべて
- 間で
- アナリスト
- &
- アンチウイルス
- 周りに
- 攻撃
- 攻撃
- 利用できます
- 銀行家
- バンキング
- バナー
- になる
- になる
- 始まった
- さ
- ブラック
- ブログ
- ブランド
- 場合
- センター
- チェーン
- チャンス
- コード
- COM
- 通信部
- 損害を受けた
- 妥協する
- コンピュータ
- お問合せ
- 接続
- 含まれています
- コントロール
- コース
- 作成します。
- 好奇心
- Customers
- カット
- サイバー
- サイバーセキュリティ
- 危険な
- データ
- デフォルト
- 絶対に
- 配信する
- 配達
- 検出
- 壊滅的な
- ドメイン
- ダウンロード
- ダウンロード
- メール
- エンドレス
- 確実に
- 環境
- 設立
- さらに
- イベント
- あらゆる
- 除く
- 実行します
- 実行
- 指数関数的に
- 直面して
- 有名な
- 広範囲に及ぶ
- File
- 名
- フォロー中
- 無料版
- から
- 生成
- 取得する
- 政府
- 育ちます
- ハード
- 隠す
- ハイ
- HTTPS
- 計り知れない
- in
- インジケータ
- 情報
- インスパイア
- インスタント
- 統合
- IP
- IT
- 自体
- 7月
- 23 年XNUMX月
- ラボ
- 姓
- 起動する
- 起動
- LINK
- リスト
- ローカル
- 長い
- たくさん
- 機械
- マシン
- マクロ
- マクロ
- マジック
- 作る
- マルウェア
- 多くの
- 大規模な
- 大規模
- 最大幅
- 手段
- メッセージ
- Microsoft
- ミッション
- 瞬間
- 他には?
- 最も
- 名
- 名前付き
- 国民
- 必要
- ネットワーク
- 新作
- ONE
- 開いた
- その他
- PC
- パソコン
- フィッシング詐欺
- PHP
- 場所
- プラトン
- プラトンデータインテリジェンス
- プラトデータ
- プレイ
- 可能
- 強力な
- PowerShellの
- 現在
- 優先順位
- プライベート
- プロセス
- 製品
- 保護された
- 公共
- 準備
- リモート
- 要求
- 研究
- リソース
- 職種
- ランニング
- 満足
- に満足
- スコアカード
- 二番
- 安全に
- セキュリティ
- サーバー
- 仕える
- サービス
- シェル(Shell)
- 卑劣な
- So
- ソフトウェア
- 広がる
- 開始
- スタートアップ
- 都道府県
- 停止
- 強い
- そのような
- 対象となります
- 世界
- 考え
- 数千
- 脅威
- 三
- 時間
- 先端
- 〜へ
- ツール
- 豊富なツール群
- トロイの
- 信頼
- URL
- ユーザー
- users
- 通常
- UTC
- さまざまな
- バージョン
- 被害者
- 犠牲者
- バーチャル
- バーチャルマシン
- 待っています
- 意志
- 無し
- Word
- 世界
- 書き込み
- You
- あなたの
- ゼファーネット