Il malware Emotet è tornato in campagne attive, ricercatori di sicurezza hanno avvertito. Apparentemente, il malware si nasconde in documenti in messaggi di spam che pretendono di essere inviato da istituzioni finanziarie, o mascherato come un saluto di ringraziamento per i dipendenti.
L'ultima volta che abbiamo scritto su Emotet stato un anno fa, a novembre 2017, Quando il Trojan bancario è stato aggiornato per includere una componente pericolosa che ha causato serie preoccupazioni tra la comunità della sicurezza – l'estrazione di dati anche su connessioni protette.
I file possono essere facilmente inviati utilizzando i metodi di infezione più popolari. I nuovi attacchi segnalati ancora una volta dimostrare che [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emmott rimane uno dei carichi più popolari, e che i suoi operatori sono sempre alla ricerca di nuovi metodi di infezione.
Funzionalità Emotet Nuovo Phishing
Il malware Emotet diventato attivo alla fine di ottobre di quest'anno. Questo è quando è stato rilevato un nuovo plugin che fatti riparare i soggetti e-mail e 16KB degli organi e-mail. Questa funzionalità è attualmente utilizzato per migliorare i modelli di phishing.
La truffa del Ringraziamento Phishing
ricercatori Forcepoint rilevato un'email pensieroso artigianale che comprendeva “alcune parole di ringraziamento allegri”. come riportato, questa email ha visto volumi superiori 27,000 nel periodo 07.30 IS e 17:00 EST in un solo giorno. Questo è ciò che dice il corpo e-mail:
Ciao,
In questa stagione di riconoscenza, siamo particolarmente grati a voi, che hanno lavorato così duramente per costruire e creare il successo della nostra azienda. voi e la vostra famiglia un ringraziamento pieno di benedizioni Wishing.
Day Card Ringraziamento qui sotto.
Il documento nell'e-mail era in realtà un file XML che finge di essere un file doc. E 'da aspettarsi che aveva macro incorporate che portano a un downloader PowerShell per il carico utile Emotet. Tuttavia, Si dovrebbe notare che:
il documento in questo caso non è il solito formato .doc o .docx, ma piuttosto un file XML mascherato da .doc, e la macro in questo caso fa uso della funzione Forme, portando infine alla chiamata della funzione shell utilizzando una WindowStyle di vbHide. La sintassi per la funzione shell è Shell( percorso, [ WindowStyle ] ) dove percorso può essere un programma o uno script.
L'uscita risultante è un comando pesantemente offuscato. quando deobfucscated, il comando ha rivelato il downloader di serie PowerShell abitualmente osservati nelle campagne Emotet, i ricercatori hanno aggiunto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: