Emotet Trojan的新攻击针对成千上万的用户

阅读时间： 4 分钟

如果您要求恶意软件分析师命名最危险和最邪恶的木马，Emotet肯定会出现在列表中。 据国家 网络安全 和通信集成中心 木马 “继续成为影响州，地方，部落和地区政府以及私人和公共部门的成本最高且破坏性最大的恶意软件之一”。 狡猾而狡猾，它在世界范围内广泛传播。 Comodo反恶意软件设施截获了新的为期4天的Emotet大型攻击。

攻击始于向28,294位用户发送的网络钓鱼电子邮件。

如您所见，该电子邮件模仿了DHL的运输消息。 著名的品牌名称是激发用户信任的工具。 好奇心因素也起着作用，因此受害者不加思索地单击电子邮件中的链接的机会就很高。 当受害者单击链接时，攻击者的黑魔法就开始发挥作用。

单击链接即可下载Word文件。 当然，Word文件与任何传送都无关-除了传送恶意软件。 它包含恶意的宏代码。 如今，由于微软默认情况下会在其产品中关闭运行宏，因此攻击者需要诱使用户运行旧版本。 这就是为什么当受害者尝试打开文件时，出现以下标语的原因。

如果用户听从攻击者的请求，则宏脚本将执行其任务-重建模糊的外壳代码以执行cmd.exe

重建混淆的代码之后，cmd.exe将启动PowerShell，然后PowerShell尝试从列表中的任何可用URL下载并执行二进制文件：

-http：//deltaengineering.users31.interdns.co.uk/KepZJXT
http://d-va.cz/ZVjGOE9
http://dveri509.ru/y1
http://www.dupke.at/rFQA
http://clearblueconsultingltd.com/VkIiR

在撰写本文时，只有最后一个包含二进制文件984.exe。

您可能会猜到，该二进制文件是 Emotet Banker木马.

一旦执行，二进制文件将自己放置在C：WindowsSysWOW64montanapla.exe。

之后，它将创建一个名为montanapla的服务，以确保恶意进程将在每次启动时启动。

此外，它尝试与Command＆Control服务器（181.142.74.233、204.184.25.164、79.129.120.103、93.88.93.100）连接，以将新的受害者通知攻击者。 然后，恶意软件等待攻击者的命令。

现在，与Command＆Control服务器的隐蔽远程连接已建立。 Emotet正在等待，准备执行来自攻击者的任何命令。 通常，它会在受感染的计算机上发布私有数据。 银行信息是优先事项。 但这还不是全部。 Emotet还用作提供许多其他功能的手段 恶意软件类型 到受感染的机器。 因此，感染Emotet可能只是无穷无尽的链条中的第一个链接，从而使受害者的计算机受到各种恶意软件的破坏。

但是Emotet对仅损害一台PC并不满意。 它尝试感染网络中的其他主机。 此外，Emotet具有隐藏和绕过反恶意软件工具的强大功能。 由于是多态的，因此可以避免基于特征的检测 抗病毒。 此外，Emotet能够检测虚拟机环境并通过生成错误指示符来伪装自己。 所有这些使它成为安全软件的难点。

“在这种情况下，我们面临着非常危险的攻击，影响深远”，Comodo威胁研究实验室负责人Fatih Orhan说。 显然，这种巨大的攻击旨在感染尽可能多的用户，但这只是冰山一角。

用Emotet感染受害者只会触发破坏性过程。 首先，它会感染网络中的其他主机。 其次，它会下载其他类型的恶意软件，因此受感染PC的感染过程将变得无止境，并且呈指数级增长。 通过阻止这种大规模攻击，Comodo保护了成千上万的用户免受这种狡猾的恶意软件的侵害，并切断了攻击者的杀戮链。 这种情况再次证明我们的客户即使受到最危险和最有力的攻击也能得到保护。”

Comodo安全地生活！

攻击中使用的热图和IP

攻击来自三个塞浦路斯的IP和域@ tekdiyar.com.tr。 它于UTC 23年2018月14日17:55:27开始，于2018年01月06日00:XNUMX:XNUMX结束。
攻击者发送了28.294个网络钓鱼电子邮件。

相关资源：

病毒清除工具

防病毒软件

电脑病毒

最好的防病毒软件

开启免费体验 免费获取即时安全评分

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://blog.comodo.com/comodo-news/new-immense-attack-emotet-trojan-targeted-thousands-users/