Нова величезна атака трояна Emotet націлена на тисячі користувачів

Час читання: 4 протокол

Якщо ви попросите аналітика шкідливого програмного забезпечення назвати найнебезпечніші та підлі трояни, Emotet точно буде присутній у списку. За даними Нац Кібербезпека і Центр інтеграції комунікацій, ст троянець «Продовжує залишатися одним з найдорожчих та найруйнівніших шкідливих програм, які впливають на державні, місцеві, племінні та територіальні органи влади, а також приватний та державний сектори». Хитрий і підступний, він масово поширюється по всьому світу. Нову величезну 4-денну атаку Emotet перехопили засоби захисту від шкідливих програм Comodo.

Атака почалася з фішингового листа, надісланого 28,294 XNUMX користувачам.

Як бачите, електронна пошта імітує повідомлення про відправку та доставку DHL. Відома назва бренду служить інструментом, щоб викликати довіру у користувачів. Фактор цікавості також відіграє свою роль, тому ймовірність того, що жертва натисне посилання в електронному листі, не замислюючись, дуже висока. І в момент, коли жертва натискає посилання, зловмисники починають грати чорної магії.

При натисканні на посилання запускається завантаження файлу Word. Звичайно, файл Word не має нічого спільного з доставкою — крім доставки шкідливого програмного забезпечення. Він містить шкідливий макрокод. Оскільки сьогодні Microsoft за замовчуванням вимикає запуск макросів у своїх продуктах, зловмисникам потрібно обманом спонукати користувачів запустити старішу версію. Тому, коли жертва намагається відкрити файл, з’являється наступний банер.

Якщо користувач підкоряється запиту зловмисників, макроскрипт приходить до своєї місії — відновлення заплутаного коду оболонки для виконання cmd.exe

Після відновлення заплутаного коду cmd.exe запускає PowerShell, і PowerShell намагається завантажити та виконати двійковий файл із будь-якої доступної URL-адреси зі списку:

-http://deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR

На момент написання статті лише останній містив двійковий файл 984.exe.

Двійковий файл, як ви можете здогадатися, є зразком Троян Emotet Banker.

Після виконання двійковий файл поміщається в C:WindowsSysWOW64montanapla.exe.

Після цього він створює службу під назвою montanapla, яка гарантує, що шкідливий процес запускатиметься під час кожного запуску.

Далі він намагається підключитися до серверів Command&Control (181.142.74.233, 204.184.25.164, 79.129.120.103, 93.88.93.100), щоб повідомити зловмисникам про нову жертву. Потім зловмисне програмне забезпечення чекає команд зловмисників.

Тепер приховане віддалене з'єднання з сервером Command&Control встановлено. Емотет чекає, готовий виконати будь-яку команду зловмисників. Зазвичай він виявляє приватні дані на зараженій машині; банківська інформація є пріоритетною. Але це ще не все. Emotet також використовується як засіб доставки багатьох інших типи шкідливих програм на заражені машини. Таким чином, зараження Emotet може стати лише першою ланкою в ланцюзі нескінченного компрометації комп’ютера жертви різними шкідливими програмами.

Але Emotet не задоволений компрометацією лише одного ПК. Він намагається заразити інші хости в мережі. Крім того, Emotet має потужні можливості для приховування та обходу засобів захисту від шкідливих програм. Будучи поліморфним, він уникає виявлення на основі сигнатур антивіруси. Крім того, Emotet може виявляти середовище віртуальної машини та маскуватися, генеруючи помилкові індикатори. Усе це робить його твердим горіхом для програмного забезпечення безпеки.

«У цьому випадку ми зіткнулися з дуже небезпечною атакою з далекосяжними наслідками», – говорить Фатіх Орхан, керівник лабораторії дослідження загроз Comodo. «Очевидно, що такі величезні атаки спрямовані на те, щоб заразити якомога більше користувачів, але це лише верхівка айсберга.

Зараження жертв Emotet просто запускає руйнівний процес. По-перше, він заражає інші хости в мережі. По-друге, він завантажує інші типи шкідливих програм, тому процес зараження скомпрометованих ПК стає нескінченним і зростає в геометричній прогресії. Зупинивши цю масову атаку, Comodo захистив десятки тисяч користувачів від цього хитрого зловмисного програмного забезпечення та розірвав ланцюжок знищення зловмисників. Цей випадок є ще одним підтвердженням того, що наші клієнти захищені навіть від найнебезпечніших і найпотужніших атак».

Живіть безпечно з Comodo!

Теплова карта та IP-адреси, використані під час атаки

Атака була здійснена з трьох кипрських IP-адрес і домену @tekdiyar.com.tr. Він розпочався 23 липня 2018 року о 14:17:55 UTC і закінчився 27 липня 2018 року о 01:06:00.
Зловмисники надіслали 28.294 XNUMX фішингових листів.

Пов'язані ресурси:

Засіб для очищення вірусів

антивірусне програмне забезпечення

Комп'ютерний вірус

Краще антивірусне програмне забезпечення

ПОЧНІТЬ БЕЗКОШТОВНУ ПРОБУ БЕЗКОШТОВНО ОТРИМАЙТЕ СВОЙ МОМЕНТАЛЬНИЙ СКОРЕКАРД

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/