Die Emotet Malware ist wieder in aktiven Kampagnen, Sicherheitsexperten gewarnt. Offenbar, die Malware wird in den Dokumenten in Spam-Nachrichten zu verstecken, die von Finanzinstituten vorgeben gesendet werden sollen, oder als Thanksgiving-Grüße für Mitarbeiter masqueraded.
Das letzte Mal, dass wir über Emotet schrieben, war vor einem Jahr, im November 2017, wenn der Banking-Trojaner wurde aktualisiert, um eine gefährliche Komponente einschließen, die ernsthaften Bedenken unter der Sicherheits-Community verursacht – Daten auch über gesicherte Verbindungen Extrahieren.
Die Dateien leicht werden könnten mit den beliebtestenen Infektionsmethoden gesendet. Die neuen berichteten Angriffe beweisen erneut, dass [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emmott bleibt eines der beliebtesten Nutzlasten, und dass ihre Betreiber sind immer auf der Suche nach neuen Infektionsmethoden.
Emotet Neue Phishing-Funktionalität
Die Emotet Malware wurde in diesem Jahr am Ende Oktober aktiv. Das heißt, wenn ein neues Plugin, die E-Mail-Themen und 16KB des E-Mail-Körpers exfiltrated erkannt wurde. Diese Funktionalität wird derzeit verwendeten Phishing-Vorlagen zu verbessern.
Der Thanksgiving-Phishing Scam
Forcepoint Forscher detektiert eine sorgfältig gestaltete E-Mail, die „einige fröhliche Thanksgiving-Worte“ enthalten. Wie berichtet, Diese E-Mail sah Volumen von mehr als 27,000 in der Zeit zwischen 07.30 IS und 17:00 EST an einem einzigen Tag. Dies ist, was der E-Mail-Körper sagt:
Hallo,
In dieser Saison der thankfulness, Besonders dankbar sind wir für Sie, die haben so hart gearbeitet, um den Erfolg unseres Unternehmens zu bauen und schaffen. Wir wünschen Ihnen und Ihrer Familie ein Erntedankfest voller Segen.
Thanksgiving Day-Karte unten.
Das Dokument in der E-Mail war in der Tat eine XML-Datei vorgibt, eine DOC-Datei zu sein. Es hatte expectedly eingebetteten Makros zu einem Powershell-Downloader für die Emotet Nutzlast führenden. Jedoch, Es ist darauf hinzuweisen, dass:
das Dokument in diesem Fall ist nicht die übliche .doc oder .docx sondern eine XML-Datei als .doc-Masquerading, und das Makro in diesem Fall nutzt das Shapes Feature, was letztendlich zu der Berufung der Shell-Funktion eines Window von vbHide mit. Die Syntax für die Shell-Funktion ist Shell( Pfadname, [ Window ] ) wo Pfadname kann ein Programm oder Skript sein.
Der sich ergebende Ausgang ist ein stark verschleiert Befehls. wenn deobfucscated, der Befehl zeigte die Standard Powershell-Downloader routinemäßig in Emotet Kampagnen beobachtet, die Forscher hinzugefügt.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: