Den Emotet malware er tilbage i aktive kampagner, sikkerhedseksperter advarede. Tilsyneladende, malware gemmer sig i dokumenter i spam-beskeder, der foregiver at være sendt fra finansielle institutioner, eller masqueraded som Thanksgiving hilsener til ansatte.
Sidste gang vi skrev om Emotet var for et år siden, i november 2017, når den bank Trojan blev opdateret med en farlig komponent, som forårsagede alvorlig bekymring blandt sikkerheden samfund – udtræk af data selv over sikrede forbindelser.
Filerne kan nemt sendes ved hjælp af de mest populære infektion metoder. De nye rapporterede angreb igen bevise, at [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emmott stadig en af de mest populære nyttelast, og at dets operatører er altid på udkig efter nye infektion metoder.
Emotet Nyt Phishing Funktionalitet
Den Emotet malware blev aktiv i slutningen af oktober i år. Det er, når en ny plugin, der exfiltrated email fag og 16KB af e-mailen organer blev opdaget. Denne funktionalitet er i øjeblikket bruges til at forbedre phishing-skabeloner.
Den Thanksgiving Phishing Scam
Forcepoint forskere opdaget en eftertænksomt udformet e-mail, der omfattede ”nogle muntre Thanksgiving ordene”. som rapporteret, denne e-mail oplevede mængder overstiger 27,000 i perioden mellem 07.30 IS og 17:00 EST i en enkelt dag. Dette er, hvad den e-mail-krop siger:
Hej,
I denne sæson af taknemmelighed, Vi er især taknemmelig, der har arbejdet så hårdt for at opbygge og skabe succes for vores virksomhed. Ønsker dig og din familie en Thanksgiving fuld af velsignelser.
Thanksgiving Day Card nedenfor.
Dokumentet i e-mailen var faktisk en XML-fil foregiver at være en .doc-fil. Det havde forventeligt indlejrede makroer, der fører til en PowerShell downloader for Emotet nyttelast. Men, Det skal bemærkes, at:
dokumentet i dette tilfælde er ikke den sædvanlige .doc eller .docx, men snarere en XML-fil forklædt som en .doc, og makroen i dette tilfælde gør brug af Former funktionen, i sidste ende fører til den kaldende af skallen funktion med et WindowStyle af vbHide. Syntaksen for skallen funktion er Shell( stinavn, [ windowstyle ] ) hvor stinavn kan være et program eller script.
Det resulterende output er et stærkt korrumperet kommando. Når deobfucscated, kommandoen afslørede standard PowerShell downloader rutinemæssigt observeret i Emotet kampagner, forskerne tilføjet.