Le logiciel malveillant de Emotet est de retour dans les campagnes actives, les chercheurs en sécurité ont mis en garde. Apparemment, le logiciel malveillant se cache dans les documents dans les messages de spam qui font semblant d'être envoyé des institutions financières, ou faisant passer pour des salutations de Thanksgiving pour les employés.
La dernière fois que nous avons écrit sur Emotet était il y a un an, en novembre 2017, lorsque le cheval de Troie bancaire a été mis à jour pour inclure une composante dangereuse qui a causé de graves préoccupations au sein de la communauté de la sécurité – l'extraction des données même sur des connexions sécurisées.
Les fichiers peuvent être facilement envoyés en utilisant les méthodes d'infection les plus populaires. Les nouvelles attaques signalées prouvent encore une fois que [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emmott reste l'une des charges utiles les plus populaires, et que ses opérateurs sont toujours à la recherche de nouvelles méthodes d'infection.
Emotet Nouvelles fonctionnalités Phishing
Le logiciel malveillant Emotet est devenu actif à la fin d'Octobre de cette année. C'est quand un nouveau plugin qui exfiltré sujets de courrier électronique et 16Ko des corps e-mail a été détectée. Cette fonctionnalité est actuellement utilisée pour améliorer les modèles de phishing.
L'escroquerie phishing Thanksgiving
chercheurs Forcepoint détecté un courriel soigneusement conçu qui comprenait « quelques mots » Thanksgiving joyeux. Comme signalé, cet e-mail a vu les volumes dépassant 27,000 dans la période entre 07.30 EST and 17:00 EST en une seule journée. C'est ce que le corps du message dit:
Salut,
En cette saison de reconnaissance, nous sommes particulièrement reconnaissants envers vous, qui ont travaillé si dur pour construire et créer le succès de notre entreprise. Je vous souhaite et votre famille pleine de bénédictions de grâce.
Carte ci-dessous le jour de Thanksgiving.
Le document dans le courrier électronique était en fait un fichier XML qui prétend être un fichier .doc. Il avait des macros incorporées expectedly menant à un téléchargeur PowerShell pour la charge utile Emotet. Cependant, il convient de noter que:
le document dans ce cas n'est pas l'habituel .doc ou .docx, mais plutôt un fichier XML se faisant passer comme .doc, et la macro dans ce cas utilise la fonction Formes, conduisant finalement à l'appel de la fonction shell en utilisant un WindowStyle de vbHide. La syntaxe de la fonction d'enveloppe est Shell( chemin, [ windowstyle ] ) où peut être un chemin programme ou d'un script.
La sortie résultante est une commande très obscurcie. lorsque deobfucscated, la commande a révélé la norme téléchargeur PowerShell observé régulièrement des campagnes Emotet, les chercheurs ont ajouté.