Casa > Ciber Noticias > Redes internas afectadas por el troyano Emotet autopropagable
CYBER NOTICIAS

Las redes internas Afectados Por propaga por sí mismo Emotet de Troya

Los investigadores han descubierto una nueva variante del troyano Emotet. La variante se dice que utilizará las funciones que pueden ayudar a que el malware para propagarse a través de redes internas.

actualización de noviembre de 2017: El troyano bancario Emotet ha sido actualizado para incluir un nuevo componente peligroso que ha causado serias preocupaciones entre la comunidad de seguridad. El malware es ahora capaz de extraer datos incluso a través de conexiones seguras. Los archivos de virus se pueden enviar fácilmente utilizando los métodos de infección más populares y los últimos ataques importantes han demostrado que sigue siendo una de las cargas útiles más populares. Las víctimas incluyen a los usuarios finales de los países de Europa, El medio Oriente, Norteamérica y Asia. Aprender cómo protegerse de Troya Emotet ahora.

¿Cuál es el Emotet de Troya?

Últimamente, Se ha observado que el troyano en una publicación de blog de Fidelis Cybersecurity ha evolucionado, También sugiere que los actores detrás de la evolución puede haber sido inspirado por los ataques de malware y Wannacry NotPetya que utilizaron capacidades similares a gusanos para propagarse rápidamente a través de redes.

Ha habido un aumento en los casos Emotet en la última semana, SophosLabs confirmados que han bloqueado desde los ordenadores de los clientes. El propio troyano está diseñado para robar datos bancarios en línea de un usuario. Aunque se considera predominantemente un troyano, Emotet también contiene las características de funcionalidad necesarias para ser clasificados como un gusano. La diferencia es que un troyano requiere un cierto grado de ingeniería social para engañar a un individuo en permitiendo a la infección mientras que un gusano puede propagarse de un sistema a otro sin la ayuda de un usuario. Cuando las descargas de Troya Emotet, se sigue entonces a ejecutar otras cargas útiles. Y aunque puede que no sea un gusano sin embargo,, sin duda, tiene el potencial para descargar y ejecutar otro componente para que pueda propagarse a otros sistemas.

¿Cómo funciona el trabajo Emotet?

La infección comienza con la distribución a través de spam de correo electrónico. La cadena de acontecimientos se lleva a cabo en el siguiente orden:

  • Un correo electrónico de spam con un enlace de descarga en la que se envía a la bandeja de entrada de la víctima.
  • El enlace de descarga en sí apunta a un documento de Microsoft Word.
  • Un código VBA que decodifica y ejecuta un script de PowerShell se encuentra en el documento una vez que se ha descargado.
  • Esto se traduce en la secuencia de comandos de PowerShell de intentar descargar y ejecutar Emotet de múltiples fuentes de URL.

Un archivo WinRAR de extracción automática contiene todos los componentes necesarios Emotet. El archivo WinRAR se lía con un gran diccionario de contraseñas débiles y más empleadas.

Emotet accede utilizando el diccionario contraseña para acceder a los sistemas de redes. Una vez que se tuvo acceso, Se copia oculta a C $ o administración $ acciones. La copia tiende a ser dado el nombre de archivo del my.exe; sin embargo, Se dice también que otros nombres de archivo que se han utilizado.

El troyano contiene una lista de cadenas incrustado desde la que se puede elegir dos palabras para añadir al nombre de archivo se utilizará esencialmente en el cuando se inicia la infección. Las cadenas elegidas por el troyano se siembran usando el volumen ID disco duro. Esto conduce eficazmente al mismo disco duro mostrando siempre el mismo nombre de archivo para cada sistema infectado.

Un componente de auto-actualización también se descarga para asegurar el troyano es capaz de descargar continuamente la última copia de sí mismo y otros módulos. Este componente se almacena como “/%Windows% .exe“, mientras que el nombre de archivo se compone de 8 dígitos hexadecimales.

Otros módulos que esta descargas de componentes están en efecto utilizan para recopilar las credenciales de otro sabe aplicaciones o en otros casos la cosecha de direcciones de correo electrónico de archivos PST de Outlook a utilizarlos en spam dirigido.

Cuando el componente principal Emotet se actualiza por el componente de actualización, el archivo principal se reemplaza con el mismo nombre de archivo formado por las mismas cadenas elegidas anteriormente en. El software malicioso se instala y ejecuta el exe recién actualizado como un servicio de Windows.

Los investigadores han descubierto recientemente, también Dridex e infecciones Qbot en los sistemas infectados por Emotet. Hay una alta posibilidad de que la capacidad de Emotet para descargar y ejecutar otras cargas útiles es, de hecho, se utiliza actualmente para implementar nuevas cargas útiles de orientación geográfica.

Medida defensiva que puede tomar contra Emotet

Desde su detección, el atacante responsable del brote Emotet ha respondido mediante la creación de nuevas variantes del troyano como ataques persisten, por lo tanto, aprovechando la característica de actualización de los programas maliciosos. La dirección IP desde la que se están descargando cargas útiles también se ha cambiado como respuesta desde la atención el malware capturado del investigador.

componentes de Emotet se detectan como:

  • Mal / Emotet
  • HPmal / Emotet
  • Troj / EmotetMem-A

Para protegerse contra el malware explotar las vulnerabilidades de Microsoft, en general,:

  • Llevar a cabo actualizaciones regulares y aplicarlas rápidamente.
  • Si es posible, reemplazar los sistemas anteriores de Windows con la versión más reciente.

Otro tipo de asesoramiento incluye:

  • Si recibe un documento de Word a través de correo electrónico sin saber remitente, no lo abras.
  • Bloquear el intercambio de archivos a través de su red.
  • Siga prácticas recomendadas de contraseñas.
  • Asegúrese de que los usuarios no tienen acceso de administrador por defecto.
  • macros de bloque en los documentos de Office.
  • Considere estrictas configuración de la pasarela de correo electrónico.
  • Utilice un antivirus con un analizador en tiempo real (También conocido como protección en tiempo real).

Kristian Iliev

estudiante de segundo año en la Universidad de Edimburgo estudiar Antropología Social y Política Social. ávido entusiasta de la nada que ver con ella, películas y reparación de relojes.

Más Mensajes

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo