Forscher haben eine neue Variante des Emotet Trojan entdeckt. Die Variante soll Funktionen nutzen, die die Malware helfen können über interne Netzwerke zu verbreiten.
Update November 2017: Der Emotet Banking-Trojaner wurde eine gefährliche neue Komponente aktualisiert und enthält die schwerwiegenden Bedenken unter der Sicherheits-Community verursacht hat. Die Malware ist nun in der Lage Daten zu extrahieren, auch über gesicherte Verbindungen. Die Virus-Dateien können einfach über die beliebtestenen Infektionsmethoden und die letzten großen Angriffe bewiesen geschickt, dass es eines der beliebtestenen Nutzlasten bleibt. Die Opfer sind Endverbraucher aus Ländern aus Europa, Mittlerer Osten, Nordamerika und Asien. Lernen wie zum Schutz von Emotet Trojan jetzt.
Was ist der Emotet Trojan?
In letzter Zeit, Es wurde beobachtet, dass sich der Trojaner in einem Fidelis Cybersecurity-Blogbeitrag weiterentwickelt hat, auch darauf hindeutet, die Akteure hinter der Evolution von der Wannacry und NotPetya Malware-Attacken inspiriert worden sein, die wurmartigen Fähigkeiten genutzt schnell über Netzwerke zu verbreiten.
Es hat sich in der vergangenen Woche eine Spitze in Emotet Fälle, bestätigt den Sophoslabs, der es von Kundencomputern blockiert. Der Trojaner selbst ist so konzipiert, ein Benutzer Online-Banking Details zu stehlen. Obwohl es in erster Linie einen Trojaner betrachtet, Emotet enthält auch die notwendige Funktionalität Merkmale als Wurm klassifiziert werden. Der Unterschied besteht darin, dass ein Trojaner ein gewisses Maß an Social-Engineering erfordert eine individuelle, in ermöglicht die Infektion zu betrügen, während ein Wurm von einem System zum anderen, ohne die Hilfe eines Benutzers verbreiten. Wenn die Emotet Trojaner-Downloads, es folgt dann andere Nutzlasten zur Ausführung auf. Und obwohl es nicht ein Wurm sein noch, es hat sicherlich das Potential, eine andere Komponente herunterzuladen und auszuführen, damit es sich auf andere Systeme zu verbreiten.
Wie funktioniert Emotet Arbeit?
Die Infektion beginnt mit Verteilung per E-Mail Spam. Die Kette von Ereignissen wird in der folgenden Reihenfolge durchgeführt:
- Eine Spam-Mail mit einem Download-Link in es in den Posteingang des Opfers geschickt.
- Der Download-Link selbst verweist auf ein Microsoft Word-Dokument.
- Ein VBA-Code, dekodiert und startet einen Powershell-Skript wird in dem Dokument gefunden, sobald es heruntergeladen wurde.
- Daraus ergibt sich die Powershell-Skript versucht Emotet von mehreren URL Quellen herunterladen und ausführen.
Ein selbstextrahier WinRAR-Archiv enthält alle notwendigen Komponenten Emotet. Das WinRAR-Archiv ist mit einem großen Wörterbuch schwacher gebündelt und am häufigsten verwendeten Passwörtern.
Emotet erhält Zugriff durch Passwort-Wörterbuch mit Zugriff auf Netzwerksysteme zu gewinnen. Sobald der Zugang gewonnen wird, es kopiert sich versteckt C $ oder Admin $ Aktien. Die Kopie neigt dazu, die Dateinamen von my.exe gegeben werden; jedoch, andere Dateinamen werden auch gesagt worden, benutzt haben.
Der Trojaner enthält eine eingebettete Liste von Strings, von denen es zwei Wörter an den Dateinamen hinzufügen können wählen, es wird im Wesentlichen auf die Verwendung, wenn eine Infektion ausgelöst wird. Die Saiten durch den Trojaner gewählt werden ausgesät die Festplatte Volume-ID verwenden. Dies führt effektiv zur gleichen immer Festplatte für jedes infizierte System die gleichen Dateinamen anzeigt.
Eine Selbstaktualisierungskomponente wird auch der Trojaner ist in der Lage, um sicherzustellen, heruntergeladen kontinuierlich die neueste Kopie von sich selbst und andere Module herunterladen. Diese Komponente wird gespeichert als “/%windows%
Weitere Module, die diese Komponente Downloads in der Tat verwendet werden, Anmeldeinformationen zu sammeln, von anderen wissen, Anwendungen oder in anderen Fällen ernten E-Mail-Adressen aus Outlook-PST-Dateien, um sie in gezieltem Spam zu verwenden.
Wenn die Haupt Emotet Komponente wird durch die Aktualisierungskomponente aktualisiert, die übergeordnete Datei wird mit dem gleichen Dateinamen aus den gleichen Saiten ersetzt gewählt früher. Die Malware dann installiert und führt die neu aktualisierte exe als Windows-Dienst.
Die Forscher haben vor kurzem entdeckt auch Dridex und QBOT Infektionen auf Emotet-infizierten Systemen. Es gibt eine hohe Wahrscheinlichkeit, dass Emotet Fähigkeit herunterzuladen und auszuführen andere Nutzlasten in der Tat ist derzeit verwendete weitere Geo-Targeting-Nutzlasten zu implementieren.
Defensive Maßnahme Sie ergreifen können gegen Emotet
Seit seiner Erkennung, der Angreifer verantwortlich für den Emotet Ausbruch wird durch die Schaffung neue Varianten des Trojaners reagiert als Angriffe andauern, daher unter Ausnutzung der Aktualisierungsfunktion von Malware. Die IP-Adresse, von den Nutzlasten heruntergeladen wurden auch als eine Antwort, da die Malware gefangen Forscher der Aufmerksamkeit geändert.
Emotet Komponenten detektiert werden als:
- Mal/Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
Zum Schutz vor Malware alle Microsoft-Schwachstellen im allgemeinen Nutzung:
- Führen Sie regelmäßige Updates und wendet sie schnell.
- Wenn möglich, ersetzen ältere Windows-Systeme mit der neuesten Version.
Weitere Hinweise enthält:
- Wenn Sie ein Word-Dokument per E-Mail erhalten, ohne den Absender zu kennen, nicht öffnen, es.
- Sperren Sie die Dateifreigabe in Ihrem Netzwerk.
- Verwenden Sie die empfohlenen Passwort Praktiken.
- Stellen Sie sicher, Benutzer nicht Standard-Admin-Zugriff.
- Block-Makros in Office-Dokumenten.
- Betrachten wir strenge E-Mail-Gateway-Einstellungen.
- Verwenden Sie ein Anti-Virus mit einem On-Access-Scanner (auch bekannt als Echtzeit-Schutz).
