I ricercatori hanno scoperto una nuova variante del Trojan Emotet. La variante è detto di utilizzare caratteristiche che possono aiutare il malware di propagarsi su reti interne.
Aggiornamento novembre 2017: Il Trojan bancario Emotet è stato aggiornato per includere un nuovo componente pericolosa che ha causato serie preoccupazioni tra la comunità della sicurezza. Il malware è in grado di estrarre i dati anche su connessioni protette. I file dei virus possono essere facilmente inviati utilizzando i metodi di infezione più popolari e gli ultimi grandi attacchi hanno dimostrato che rimanga uno dei carichi più popolari. Le vittime includono gli utenti finali da paesi dell'Europa, Medio Oriente, Nord America e Asia. Imparare come proteggere da Emotet Trojan adesso.
Qual è l'Emotet Trojan?
Ultimamente, il trojan è stato osservato in un post sul blog di Cybersecurity di Fidelis per essersi evoluto, anche suggerendo gli attori dietro l'evoluzione potrebbe essere stato ispirato dagli attacchi di malware e Wannacry NotPetya che utilizzavano capacità vermiformi a diffondersi rapidamente attraverso le reti.
C'è stato un picco di casi Emotet la scorsa settimana, SophosLabs confermati che hanno bloccato da computer dei clienti. La stessa Trojan è progettato per rubare dati bancari on-line di un utente. Anche se è prevalentemente considerato un trojan, Emotet contiene anche le caratteristiche di funzionalità necessarie per essere classificate come un verme. La differenza è che un Trojan richiede un certo grado di ingegneria sociale per ingannare un individuo in che permette l'infezione, mentre un worm può diffondersi da un sistema all'altro senza l'ausilio di un utente. Quando il trojan scarica Emotet, segue poi ad eseguire altri carichi. E anche se può non essere ancora un verme, certamente ha il potenziale per scaricare ed eseguire un altro componente in modo che si può diffondersi ad altri sistemi.
Come funziona Emotet lavoro?
L'infezione inizia con la distribuzione via e-mail di spam. La catena di eventi viene effettuata nel seguente ordine:
- Una e-mail di spam con un link per il download in esso viene inviato alla casella di posta della vittima.
- Il link per il download si fa riferimento a un documento di Microsoft Word.
- Un codice VBA che decodifica e lancia uno script PowerShell si trova all'interno del documento una volta che è stato scaricato.
- Ciò si traduce nello script PowerShell tenta di scaricare ed eseguire Emotet da più fonti URL.
Un archivio WinRAR autoestraente contiene tutti i componenti necessari Emotet. L'archivio WinRAR è fornito in bundle con un grande dizionario di password deboli e di uso comune.
Emotet accesso guadagni utilizzando il dizionario password per ottenere l'accesso a sistemi di rete. Una volta che si ottiene l'accesso, Si copia nascosta C $ o Admin $ azioni. La copia tende a dare il nome di my.exe; tuttavia, altri nomi sono anche detto di essere stati utilizzati.
Il Trojan contiene un elenco incorporato di stringhe da cui può scegliere due parole da aggiungere al nome del file che sarà essenzialmente usare allo quando viene avviata l'infezione. Le stringhe scelti dal trojan vengono seminate utilizzando il volume ID disco rigido. Questo porta in modo efficace allo stesso disco rigido che visualizza sempre lo stesso nome per ogni sistema infetto.
Un componente di auto-aggiornamento viene scaricato anche al fine di garantire il trojan è in grado di scaricare in modo continuo l'ultima copia di se stesso e gli altri moduli. Questo componente viene memorizzato come “/%finestre%
Altri moduli che questo download dei componenti sono in effetti utilizzate per raccogliere le credenziali da altro sa applicazioni o in altri casi raccolgono indirizzi e-mail da file PST di Outlook per utilizzarli nello spam mirato.
Quando il componente Emotet principale viene aggiornata dal componente di aggiornamento, il file principale viene sostituito con lo stesso nome file costituito dagli stessi stringhe scelti in precedenza. Il malware installa quindi ed esegue il file exe appena aggiornato come servizio di Windows.
I ricercatori hanno recentemente scoperto anche Dridex e le infezioni Qbot sui sistemi Emotet-infetti. C'è un'elevata possibilità che la capacità di Emotet di scaricare ed eseguire altri carichi utili è infatti attualmente utilizzata per implementare ulteriori carichi utili geo-targeting.
Misura difensiva si può prendere contro Emotet
Fin dalla sua rilevazione, l'attaccante responsabile del focolaio Emotet ha risposto con la creazione di nuove varianti del Trojan come attacchi persistono, quindi sfruttando funzione di aggiornamento del minacce. L'indirizzo IP da cui sono stati scaricati i payload è stato cambiato anche come una risposta dal momento che l'attenzione del malware catturato del ricercatore.
componenti di Emotet vengono rilevati come:
- Mal / Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
Per difendersi contro il malware sfruttare eventuali vulnerabilità di Microsoft in generale:
- Effettuare regolari aggiornamenti e applicarle rapidamente.
- Se possibile, sostituire i vecchi sistemi Windows con la versione più recente.
Altri Consigli include:
- Se si riceve un documento Word tramite e-mail senza conoscere il mittente, non aprirlo.
- Bloccare la condivisione di file in rete.
- Uso raccomandato pratiche di password.
- Accontentarsi che gli utenti non hanno accesso predefinito di amministrazione.
- macro blocco in documenti Office.
- Considerare rigorose impostazioni del gateway e-mail.
- Utilizzare un anti-virus con uno scanner on-access (conosciuto anche come protezione in tempo reale).
