Forskere har opdaget en ny variant af Emotet Trojan. Varianten siges at udnytte funktioner, der kan hjælpe malwaren at udbrede løbet interne netværk.
opdateringen fra november 2017: Den Emotet banking trojanske er blevet opdateret til at omfatte en farlig ny komponent, som har forårsaget alvorlig bekymring blandt sikkerheden samfund. Den malware er nu i stand til at udtrække data selv over sikrede forbindelser. De virus filer kan nemt sendes ved hjælp af de mest populære infektion metoder og de sidste store angreb bevist, at det er stadig en af de mest populære nyttelast. Ofre omfatter slutbrugere fra lande fra Europa, Mellemøsten, Nordamerika og Asien. Lære hvordan man kan beskytte mod Emotet Trojan nu.
Hvad er det Emotet Trojan?
Sidst, trojanen er blevet observeret i et Fidelis Cybersecurity-blogindlæg, der har udviklet sig, også antyder aktørerne bag udviklingen kan have været inspireret af Wannacry og NotPetya malware-angreb, der udnyttede ormelignende evner til hurtigt at sprede sig på tværs af netværk.
Der har været en stigning i Emotet tilfælde i den forløbne uge, bekræftede SophosLabs der har blokeret den fra kundernes computere. Den trojanske selv er designet til at stjæle en brugers netbank detaljer. Selvom det overvejende betragtes som en trojan, Emotet indeholder også de nødvendige funktionalitet funktioner til at blive klassificeret som en orm. Forskellen er, at en trojan kræver en vis grad af social engineering til at narre en person ind muliggøre infektion hvorimod en orm kan sprede sig fra ét system til et andet uden hjælp fra en bruger. Når Emotet trojanske downloads, Det følger da af at udføre andre nyttelast. Og selv om det måske ikke være en orm endnu, det har bestemt potentiale til at hente og udføre en anden komponent, så det kan sprede sig til andre systemer.
Hvordan virker Emotet Work?
Infektionen begynder med distribution via email spam. Kæden af begivenheder udføres i følgende rækkefølge:
- En spam e-mail med et downloadlink i den sendes til ofrets indbakke.
- Den downloadlink selv peger på et Microsoft Word-dokument.
- En VBA-kode, der afkoder og lancerer en Powershell script findes i dokumentet, når den er blevet downloadet.
- Dette resulterer i Powershell script forsøger at downloade og køre Emotet fra flere URL kilder.
En selvudpakkende WinRAR arkiv indeholder alle de nødvendige Emotet komponenter. Den WinRAR arkiv er bundlet med en stor ordbog over svage og almindeligt anvendte adgangskoder.
Emotet får adgang ved hjælp af adgangskode ordbogen for at få adgang til netværkssystemer. Når adgang er opnået, den kopierer sig til skjult C $ eller Admin $ aktier. Kopien har tendens til at blive givet filnavnet på my.exe; dog, andre filnavne er også siges at have været brugt.
Den trojanske indeholder en integreret liste af strenge, hvorfra den kan vælge to ord for at lægge i filnavnet det vil hovedsageligt bruge på, når infektionen påbegyndes. Strengene valgt af trojan udsås bruger harddisken volumen id. Dette fører effektivt til samme harddisk altid vise det samme filnavn for hver inficerede system.
En selvstændig opdatering komponent hentede også for at sikre den trojanske er i stand til løbende at hente den nyeste kopi af sig selv og andre moduler. Denne komponent er lagret som “/%vinduer%
Andre moduler at denne komponent downloads er i realiteten bruges til at indsamle legitimationsoplysninger fra andre kender applikationer eller i andre tilfælde høste e-mail adresser fra Outlook PST-filer til at bruge dem i målrettet spam.
Når den vigtigste Emotet komponent opdateres af opdateringsprogrammet komponent, den forælder fil udskiftes ved hjælp af den samme filnavn, der består af de samme strenge valgte tidligere på. Den malware derefter installerer og kører den nyligt opdaterede exe som en Windows-tjeneste.
Forskere har for nylig også opdaget Dridex og Qbot infektioner på Emotet-inficerede systemer. Der er en stor sandsynlighed for at Emotet evne til at hente og udføre andre nyttelast er faktisk ved at blive brugt til at implementere yderligere geografisk målrettede nyttelast.
Defensiv Mål Du kan tage imod Emotet
Siden sin afsløring, angriberen ansvarlig for Emotet udbruddet har reageret ved at skabe nye varianter af trojanske som angrebene fortsætter, dermed drage fordel af malware s opdateringsfunktion. IP-adressen, hvorfra nyttelast blev downloadet er også blevet ændret som et svar, da malware fanget forskerens opmærksomhed.
Emotet komponenter opdages som:
- Mal / Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
For at beskytte mod malware udnytter enhver Microsoft-sårbarheder i almindelighed:
- Foretag regelmæssige opdateringer og anvende dem hurtigt.
- Hvis det er muligt, erstatte ældre Windows-systemer med den nyeste version.
Andre Advice omfatter:
- Hvis du modtager et Word-dokument via e-mail uden at kende afsenderen, ikke åbne den.
- Lås fildeling på tværs af dit netværk.
- password praksis Anbefalet brug.
- Sørg for, at brugere ikke har standard admin adgang.
- Bloker makroer i Office-dokumenter.
- Overvej strenge email gateway indstillinger.
- Brug et anti-virus med en on-access-scanneren (også kendt som real-time beskyttelse).