Da quando l'Emotet Trojan è stato lanciato contro i computer di tutto il mondo a pochi anni fa, i criminali hanno utilizzato nei loro attacchi. Nel corso degli anni il suo codice è cambiato e tentativi di rimozione non può essere sempre successo. Il nostro articolo illustra alcune delle tecniche che le vittime possano utilizzare per rimuovere alcuni ceppi del Trojan bancari Emotet.
Story correlati: Brand New IcedID Banking Trojan Modifica del panorama delle minacce
Gli ultimi Emotet Banking Trojan Moves
Trojan bancari sono una delle più ampiamente pezzi di malware. Il loro obiettivo principale è quello di infettare i computer di destinazione e prendere possesso di informazioni bancarie sensibili che viene poi riportato agli operatori di malware. Ci sono diverse strategie che i criminali possono utilizzare. Il primo è l'installazione di moduli di spionaggio avanzati che danno gli attaccanti la possibilità di monitorare le azioni delle vittime in tempo reale, e registrare il loro movimento del mouse e della tastiera.
Un altro tipo di attacco prevede la sovrapposizione di falsi applicazioni e forme che appaiono servizi online come legittimi. Se gli obiettivi di inserire i propri dati personali tutte quelle informazioni viene trasmessa agli hacker che entrano immediatamente i dettagli nei servizi e ritirare tutto il denaro accessibili.
Recentemente il Trojan bancario Emotet è stato aggiornato per includere un nuovo componente pericolosa che ha causato serie preoccupazioni tra la comunità della sicurezza. Il malware è in grado di estrarre i dati anche su connessioni protette. I file possono essere facilmente inviati utilizzando i metodi di infezione più popolari e gli ultimi grandi attacchi hanno dimostrato che rimanga uno dei carichi più popolari. Le vittime includono gli utenti finali da paesi dell'Europa, Medio Oriente, Nord America e Asia.
Emotet bancari meccanismi di attacco di Troia
Uno dei ceppi più recenti associati Emotet è la sua struttura modulare. Il malware viene di solito fornita tramite messaggi di posta spam che utilizzano tecniche di social engineering. Gli hacker fingono di essere aziende o istituzioni finanziarie spedizione e inviare link e allegati file che si presentano come le notifiche o fatture. Una volta che sono aperti dalle vittime si verifica l'infezione.
L'Emotet banking Trojan contatta i server degli hacker controllato e scarica il motore principale da lì. Il processo di infezione è condotto in due fasi distinte – una fase preparatoria condizionale e la modifica malware vero. codice malicous viene iniettato in molte applicazioni legittime e il sistema operativo.
Quando il banking Emotet Trojan è espresso attraverso Microsoft Office payload gli operatori hanno messo a punto numerosi modi che il malware può essere pacchettizzato. forme popolari includono documenti di testo ricco, presentazioni, archivio, fogli di calcolo e database. Una volta che si aprono gli script di avvio automatico di scaricare ed eseguire codice scaricato da server remoti. In alcuni casi una richiesta di notifica può essere visualizzato che chiede agli utenti di dare il permesso per questo accada.
Alcune delle versioni più recenti di Emotet eseguire automaticamente quando i browser web sono aperte. Tutto il traffico di rete viene registrato e trasmesso al gestore degli hacker in tempo reale e questo è vero anche quando si tratta di connessioni di rete protette.
I ricercatori di sicurezza di notare che le impostazioni di profonde modifiche sono fatte per il registro di Windows e altri componenti critici del sistema operativo. Può anche essere utilizzato per scaricare altre minacce per le macchine compromesse.
Emotet Banking Trojan Ora Bundle capacità di attacco avanzato
Alcune delle più recenti versioni del Trojan Emotet banking sono stati avvistati per includere un motore modulare. Gli hacker possono specificare quali componenti aggiuntivi per inviare alle macchine vittima in base ai dati di ricognizione acquisiti durante la fase preliminare di infezione. Un elenco parziale comprende i seguenti moduli: modulo spamming, propagazione del worm di rete, visualizzatore di password di posta elettronica e un visualizzatore Web della password del browser. casi Emotet Trojan hanno la capacità di interagire con i server di hacker in modo intelligente, seguendo entrambi i modelli preregistrati e la ricezione di nuove istruzioni da parte degli operatori.
Il Trojan bancario Emotet può essere aggiornato a lungo con i componenti aggiuntivi come pure. A seconda della collettività degli hacker possono essere di diversi tipi e comprende varie fasi della sequenza infezione. Ad esempio gli hacker possono ideare nuove tecniche di intrusione, strumenti di hacking o funzionalità di protezione dello stealth.
campioni più recenti sono stati trovati per interagire direttamente con il Windows Mount Point Manager, che dà ai criminali la possibilità di indirizzare le partizioni non di sistema come pure. Ciò include qualsiasi hard disk esterni, dispositivi di archiviazione rimovibili e condivisioni di rete. Tali tecniche danno gli hacker la possibilità di accedere a una più ampia quantità di dati nei processi di infezione più tardi.
Quando l'attività di rete è iniziata e gli hacker utilizzano agenti web falsi l'Emotet banking Trojan ha la capacità di mascherare se stesso come una delle più diffuse applicazioni di navigazione web. L'elenco comprende: Mozilla Firefox, Google Chrome, Microsoft Edge, Internet Explorer, Opera e Safari.
processi di post-infezione possono includere anche l'estrazione dei dati dall'host compromesso. Questo include informazioni come le impostazioni utente regionali. I valori raccolti vengono utilizzati dagli hacker insieme con i dati del sistema di riconoscere e filtrare le macchine compromesse base alla loro posizione e utente geografiche preferenze. Questo è usato per presentare i vari messaggi in una lingua localizzata, se tali sono configurati in fasi successive.
Le misure di sicurezza Emotet Trojan
Le versioni più recenti del Trojan bancario Emotet utilizzano un controllo di sicurezza modello che sembra per certi nomi utente e nomi di host che segnalano un sandbox attiva, macchina virtuale o ambiente di debug. Quando tali stringhe vengono rilevati il Trojan bancario Emotet potrebbe fermarsi prima ancora che la raccolta di informazioni preliminari stadio è stato raggiunto. Gli esempi includono i seguenti nomi: “Admin”, “VirtualBox”, “VMWare”, “[ID]-PC” e così via.
Effettivamente mettendo segni e file che vengono attribuiti a sistemi sandbox o debug. Gli utenti possono tentare di creare i seguenti file:
- C:\un foobar.bmp
- C:\un foobar.gif
- C:\un foobar.doc
- C:\email.doc
- C:\email.htm
- C:\123\email.doc
- C:\123\Email.docx
Sembra che l'Emotet banking Trojan cerca una serie di file che si trovano nelle cartelle che sono associati con minacce come il “C:\un” e “C:\123” e la partizione principale C.
Consigliamo vivamente che gli utenti utilizzano una soluzione di livello professionale per proteggersi dalle forme avanzate di Trojan bancari Emotet che possono utilizzare altre tecniche.
Spy Hunter scanner rileva solo la minaccia. Se si desidera che la minaccia da rimuovere automaticamente, è necessario acquistare la versione completa del tool anti-malware.Per saperne di più sullo strumento SpyHunter Anti-Malware / Come disinstallare SpyHunter