Läsningstid: 4 minuter
Cyberkriminella förtjust i firande som Thanksgiving Day - men inte av samma anledning som uppriktiga människor gör. För förövarna är det favorittiden att attackera. Varför? För folk är inställda på trevliga och goda tankar och känslor sådana dagar. Tyvärr gör det dem mer sårbara. När de ser ett hälsningsbrev i inkorgarna känner de tacksamhet och nyfikenhet – vem har skickat det? – och klickar på den bifogade filen utan att tänka på potentiell fara.
På tröskeln till denna Thanksgiving day avlyssnade Comodo-specialister en listig attack som syftade till att sprida en av de för närvarande mest elaka skadliga programmen – Emotet-trojanen, som vanligtvis används för att stjäla bankuppgifter och annan privat information.
Vanligtvis spreds denna skadliga programvara mest som ett finansrelaterat e-postmeddelande som ett meddelande från en bank. Här är ett exempel på sådan e-post som fångas upp av Comodo-anläggningar.
Som du kan se använde angriparna väl förberedda falska som kunde lura även säkerhetsmedvetna användare. Länken i mejlet leder till "rozdroza.com/En_us/Clients_Messages/11_18" URL. Om en användare klickar på länken släpps den förgiftade Microsoft Office-dokumentfilen automatiskt på hennes dator.
Men på tröskeln till Thanksgiving-dagen bestämde sig förövarna för att göra något speciellt och dölja den infekterade filen som ett gratulationskort. Nedan är proverna på phishing-e-postmeddelanden de använder i den nya attacken.
Som du kan se är dessa e-postmeddelanden också noggrant utarbetade för att se rimliga ut. De har olika innehåll men i alla fall är det byggt för att inspirera till trevliga och varma känslor hos offren. Oavsett om det är en hjärtlig hälsning, beundran av en kollega eller till och med ett stycke poesi, väcker det en god stämning hos offren och försvagar därmed deras vaksamhet.
Citaten från fantastiska människor längst ner i meddelandena används också för att väcka förtroende hos offren, vilket ökar chanserna att de kommer att öppna dokumentet – och släppa in fienden i huset. I verkligheten är "gratulationskortet" ett Word-dokument infekterat med Emotet.
Låt oss titta på hela dödandekedjan av denna listiga skadliga programvara.
Den infekterade filen har ett inbäddat makroskript. När en användare öppnar ett "gratulationskort" laddar makron ner Emotet på offrets dator.
Först instrueras användaren att aktivera exekvering av makroinnehåll eftersom dokumentet innehåller en VBA-ström utformad för att ladda ner och köra skadlig programvara.
Om användaren tillåter att det aktiva innehållet körs kommer koden att anropa cmd.exe med modifierade parametrar som kommer att anropa igen cmd.exe med obfuskerade parametrar som äntligen skickar ett skript till powershell.exe designad för att ladda ner och köra binärer från internet.
De obfuskerade parametrarna som används för att starta cmd.exe lagras i en textruta som har ändrats för att vara omärklig för offret.
Efter det undersöker skriptet fem platser för att ladda ner Emotet: anora71.uz/aH3i9EM, egyptmotours.com/EfRRkqPucD, friskyeliquid.com/xspcYyA63, m3produtora.com/QOlBVnrL40, litsey4.ru/V5XLXxDubY.
Sedan laddar den ner skadlig programvara till användarens tillfällig mapp och kör den. Emotet flyttar sig till C:WindowsSysWOW64cachingplain.exe och skapar en tjänst som ska köras under systemstart.
Den nyskapade tjänsten ansluter till C&C-servern för att meddela tillgänglighet och ta emot kommandon.
Från och med detta ögonblick är den infekterade maskinen under total kontroll av angriparna. De kan extrahera användarnas autentiseringsuppgifter, bankuppgifter och annan privat information från datorn och fortsätta attacken genom att ladda ner andra typer av skadlig programvara.
"Attacken är en komplicerad förgiftad sammanslagning av raffinerade väl förtäckta skadliga program och psykologiska manipulationstrick", säger Fatih Orhan, chef för Comodo Threat Research Labs. "Det är inte bara farligt och förstörande ur teknisk synvinkel utan särskilt cyniskt och omoraliskt på grund av att man utnyttjar människors ljusa känslor under en storslagen semester. Det är alltid dåligt att bli bestulen men det är mycket värre att bli bestulen på en så härlig semester och medveten om att förövarna använde dina egna ljusa känslor mot dig. Jag är verkligen glad att vi skyddade våra kunder från dessa smärtsamma konsekvenser och inte lät förövarna förstöra ett firande av en så storslagen dag”.
Värmekartan och detaljer om attacken
Attacken startade den 19 november 2018 klockan 18:34:12 och fortsatte när den här artikeln skapades. Det genomfördes från 26 IP:er i 10 länder. 108 nätfiske-e-postmeddelanden upptäcks för tillfället och antagligen kommer attacken att nå sin topp på Thanksgiving day.
Länderna som är inblandade i attacken och antalet e-postmeddelanden som skickats per land
Värmekartan
Lev säkert med Comodo!
PÅBÖRJA GRATIS FÖRSÖKSPERIOD FÅ DIN Omedelbara säkerhetskort GRATIS
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
- PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
- Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
- PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
- Källa: https://blog.comodo.com/comodo-news/poisoned-gift-for-thanksgiving-day-a-new-disguise-to-break-into-your-bank-account/
- : har
- :är
- :inte
- 10
- 118
- 12
- 19
- 2018
- 26%
- 362
- a
- Able
- Om Oss
- Konto
- aktiv
- igen
- mot
- syftar
- tillåter
- också
- alltid
- an
- och
- ÄR
- Artikeln
- AS
- At
- attackera
- automatiskt
- tillgänglighet
- medveten
- Badrum
- Bank
- bankkonto
- Banking
- BE
- därför att
- nedan
- Blogg
- Botten
- Ha sönder
- Bright
- SLUTRESULTAT
- men
- by
- Ring
- KAN
- kortet
- försiktigt
- Vid
- Celebration
- kedja
- chanser
- klick
- koda
- kollega
- komplicerad
- genomfördes
- ansluter
- Konsekvenser
- innehåller
- innehåll
- fortsätta
- fortsätter
- kontroll
- länder
- skapas
- skapar
- Skapa
- CREDENTIAL
- referenser
- nyfikenhet
- För närvarande
- Kunder
- FARA
- Dangerous
- Datum
- dag
- Dagar
- beslutade
- utformade
- detaljer
- olika
- upptäckt
- do
- dokumentera
- ladda ner
- nedladdning
- Nedladdningar
- Droppar
- under
- e
- inbäddade
- känslor
- möjliggöra
- speciellt
- eve
- Även
- händelse
- Varje
- exempel
- exekvera
- Utför
- utförande
- utnyttja
- extrahera
- anläggningar
- fejka
- Favoriten
- känna
- känslor
- Fil
- filtrering
- Slutligen
- fem
- För
- Fri
- från
- skaffa sig
- present
- god
- stora
- tack
- stor
- hälsning
- Har
- huvud
- här
- här.
- Semester
- Huset
- HTTPS
- Omoralisk
- in
- infekterade
- informationen
- inspirerar
- omedelbar
- Internet
- in
- involverade
- IT
- DESS
- sig
- dödande
- Labs
- lansera
- Leads
- Låt
- brev
- tycka om
- LINK
- platser
- se
- Maskinen
- Makro
- makron
- göra
- GÖR
- malware
- Manipulation
- max-bredd
- Sammanfoga
- meddelande
- meddelanden
- Microsoft
- modifierad
- ögonblick
- mer
- mest
- för det mesta
- förflyttar
- mycket
- Nya
- nytt
- November
- nt
- antal
- of
- Office
- on
- ONE
- endast
- öppet
- öppnas
- or
- Övriga
- vår
- ut
- egen
- smärtsamma
- parametrar
- passera
- PC
- Topp
- Personer
- för
- Nätfiske
- PHP
- bit
- plato
- Platon Data Intelligence
- PlatonData
- plausibel
- Poesi
- Punkt
- Synvinkel
- potentiell
- privat
- privat information
- skyddad
- psykologiska
- citat
- höja
- nå
- Verkligheten
- verkligen
- Anledningen
- motta
- raffinerade
- forskning
- Körning
- Samma
- säger
- score-kort
- skript
- säkra
- säkerhet
- se
- sända
- skickas
- server
- service
- något
- skräppost
- speciell
- specialister
- spridning
- igång
- start
- lagras
- ström
- sådana
- system
- Teknisk
- Tacksägelse
- den där
- Smakämnen
- deras
- Dem
- Dessa
- de
- Tänkande
- detta
- hot
- Således
- tid
- till
- Totalt
- Trojan
- Litar
- stämd
- typer
- under
- tyvärr
- Begagnade
- Användare
- med hjälp av
- vanligen
- VBA
- Victim
- offer
- utsikt
- vaksamhet
- Sårbara
- varm
- var
- we
- när
- VEM
- Hela
- varför
- kommer
- med
- utan
- ord
- arbetade
- sämre
- Om er
- Din
- zephyrnet