Les chercheurs ont découvert une nouvelle variante du cheval de Troie Emotet. La variante est dit d'utiliser des fonctionnalités qui peuvent aider les logiciels malveillants de se propager sur les réseaux internes.
Mise à jour Novembre 2017: Le cheval de Troie bancaire Emotet a été mis à jour pour inclure dans la communauté de la sécurité d'un nouveau composant dangereux qui a causé de graves préoccupations. Le logiciel malveillant est désormais en mesure d'extraire des données même sur des connexions sécurisées. Les fichiers de virus peuvent être facilement envoyés à l'aide des méthodes d'infection les plus populaires et les dernières attaques majeures ont prouvé qu'il reste l'un des charges utiles les plus populaires. Les victimes sont les utilisateurs finaux des pays d'Europe, Moyen-orient, Amérique du Nord et en Asie. Apprendre comment protéger contre Emotet cheval de Troie maintenant.
Quel est le cheval de Troie Emotet?
Récemment, le cheval de Troie a été observé dans un article du blog Fidelis Cybersecurity comme ayant évolué, suggérant également les acteurs derrière l'évolution peut avoir été inspiré par les attaques de logiciels malveillants et Wannacry NotPetya qui ont utilisé les capacités vermiformes de se propager rapidement à travers les réseaux.
Il y a eu un pic dans les cas Emotet la semaine dernière, SophosLabs confirmés qui ont bloqué à partir des ordinateurs clients. Le cheval de Troie s'est conçu pour voler les détails bancaires en ligne d'un utilisateur. Bien qu'il soit considéré comme essentiellement un cheval de Troie, Emotet contient également les caractéristiques de fonctionnalité nécessaires pour être classés comme un ver. La différence est qu'un cheval de Troie exige un certain degré d'ingénierie sociale pour tromper un individu en permettant à l'infection alors qu'un ver peut se propager d'un système à l'autre sans l'aide d'un utilisateur. Lorsque les téléchargements de troie Emotet, il suit ensuite d'exécuter d'autres charges utiles. Et bien qu'il ne soit pas un ver encore, il a certainement le potentiel pour télécharger et exécuter un autre composant de sorte qu'il peut se propager à d'autres systèmes.
Comment fonctionne Emotet travail?
L'infection commence par la distribution via le spam email. La chaîne d'événements est effectuée dans l'ordre suivant:
- Un e-mail de spam avec un lien de téléchargement dans il est envoyé à la boîte de réception de la victime.
- Le lien de téléchargement se fait à un document Microsoft Word.
- Un code VBA qui décode et lance un script Powershell se trouve dans le document une fois qu'il a été téléchargé.
- Il en résulte le script Powershell essayant de télécharger et d'exécuter Emotet à partir de plusieurs sources d'URL.
Une archive auto-extractible WinRAR contient tous les composants nécessaires Emotet. L'archive WinRAR est livré avec un grand dictionnaire de mots de passe faibles et couramment utilisés.
gains Emotet accès en utilisant le dictionnaire de mot de passe pour accéder aux systèmes de réseau. Une fois l'accès obtenu, il se copie caché C $ ou administrateur $ actions. La copie a tendance à donner le nom de fichier my.exe; cependant, d'autres noms de fichiers sont également dit avoir été utilisé.
Le cheval de Troie contient une liste intégrée de chaînes à partir de laquelle il peut choisir deux mots à ajouter au nom du fichier, il se fera essentiellement au cas d'infection est lancée. Les chaînes choisies par le cheval de Troie sont ensemencées en utilisant l'ID de volume de disque dur. Cela conduit efficacement au même disque dur affichant toujours le même nom de fichier pour chaque système infecté.
Un composant d'auto-mise à jour est téléchargé pour assurer le cheval de Troie est capable de télécharger en permanence la dernière copie de lui-même et d'autres modules. Ce composant est stocké sous forme de “/%les fenêtres%
D'autres modules que ce composant téléchargements sont en effet utilisés pour recueillir des informations d'identification d'autres applications ou connaît dans d'autres cas, la récolte des adresses électroniques des fichiers PST d'Outlook pour les utiliser dans des messages ciblés.
Lorsque le principal composant Emotet est mis à jour par le composant Updater, le fichier parent est remplacé en utilisant le même nom composé des mêmes chaînes choisies plus tôt. Le malware installe alors et exécute la nouvelle mise à jour exe en tant que service Windows.
Les chercheurs ont récemment découvert également Dridex et les infections QBOT sur les systèmes infectés par Emotet. Il y a une forte possibilité que la capacité de Emotet de télécharger et d'exécuter d'autres charges utiles est en fait actuellement utilisé pour déployer d'autres charges utiles géo ciblées.
Mesure défensive que vous pouvez prendre contre Emotet
Depuis sa détection, l'attaquant responsable de l'épidémie Emotet a réagi en créant de nouvelles variantes du cheval de Troie que les attaques persistent, prenant donc avantage de la fonctionnalité de mise à jour de logiciels malveillants. L'adresse IP à partir de laquelle les charges utiles ont été en cours de téléchargement a également été modifiée en réponse depuis l'attention du malware pris chercheur.
Les composants de Emotet sont détectés comme:
- Mal / Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
Pour se prémunir contre les logiciels malveillants en exploitant les vulnérabilités Microsoft en général:
- Effectuer des mises à jour régulières et les appliquer rapidement.
- Si possible, remplacer les systèmes Windows plus anciens avec la dernière version.
Autres conseils comprend:
- Si vous recevez un document Word par courrier électronique sans connaître l'expéditeur, ne pas l'ouvrir.
- Verrouiller le partage de fichiers sur votre réseau.
- Utiliser les pratiques recommandées par mot de passe.
- Assurez-vous que les utilisateurs ne disposent pas d'un accès par défaut admin.
- Les macros de bloc dans les documents Office.
- Considérez les paramètres stricts de passerelle de messagerie.
- Utilisez un antivirus avec un scanner à l'accès (également connu sous protection en temps réel).
