数年前に世界中のコンピューターに対してEmotetトロイの木馬が起動されて以来、犯罪者は攻撃に利用してきました. 何年にもわたってそのコードは変更されており、削除の試みは必ずしも成功するとは限りません。. 私たちの記事は、被害者がEmotetバンキング型トロイの木馬の特定の株を削除するために使用できるいくつかの手法を示しています.
最新のEmotetバンキング型トロイの木馬の動き
バンキング型トロイの木馬は、最も広く普及しているマルウェアの1つです。. 彼らの主な目標は、標的となるコンピューターに感染し、機密性の高い銀行情報を入手して、マルウェアオペレーターに報告することです。. 犯罪者が利用できるいくつかの戦略があります. 1つ目は、攻撃者が被害者の行動をリアルタイムで監視できるようにする高度なスパイモジュールのインストールです。, マウスの動きとキーストロークを記録するだけでなく.
別の種類の攻撃には、正当なオンラインサービスとして表示される偽のアプリケーションとフォームの重ね合わせが含まれます. ターゲットが個人データを入力すると、その情報はすべてハッカーに中継され、ハッカーはすぐに詳細をサービスに入力し、アクセス可能なすべてのお金を引き出します.
最近、Emotetバンキング型トロイの木馬が更新され、セキュリティコミュニティに深刻な懸念を引き起こしている危険な新しいコンポーネントが含まれるようになりました。. マルウェアは、セキュリティで保護された接続を介してもデータを抽出できるようになりました. ファイルは最も一般的な感染方法を使用して簡単に送信でき、最後の主要な攻撃により、ファイルが最も人気のあるペイロードの1つであることが証明されました. 被害者には、ヨーロッパ諸国のエンドユーザーが含まれます, 中東, 北米とアジア.
Emotetバンキング型トロイの木馬攻撃メカニズム
Emotetに関連する新しい株の1つは、そのモジュラー設計です. マルウェアは通常、ソーシャルエンジニアリング技術を利用したスパムメールメッセージを介して配信されます. ハッカーは、運送会社や金融機関のふりをして、通知や請求書を装ったリンクや添付ファイルを送信します。. それらが犠牲者によって開かれると、感染が発生します.
次に、Emotetバンキング型トロイの木馬は、ハッカーが制御するサーバーに接続し、そこからメインエンジンをダウンロードします。. 感染プロセスは2つの別々のフェーズで実行されます – 条件付きの準備段階と実際のマルウェアの変更. 悪意のあるコードは、多くの正当なアプリケーションとオペレーティングシステムに挿入されます.
Emotetバンキング型トロイの木馬がMicrosoftOfficeペイロードを介して配信される場合、オペレーターはマルウェアをパッケージ化するためのさまざまな方法を考案しました。. 人気のあるフォームには、リッチテキストドキュメントが含まれます, プレゼンテーション, アーカイブ, スプレッドシートとデータベース. スクリプトを開くと、リモートサーバーからダウンロードしたコードのダウンロードと実行が自動的に開始されます。. 場合によっては、これを行うための許可をユーザーに与えるように求める通知プロンプトを表示できます。.
Emotetの新しいバージョンの一部は、Webブラウザーを開くと自動的に実行されます. すべてのネットワークトラフィックはログに記録され、リアルタイムでハッカーオペレーターに送信されます。これは、セキュリティで保護されたネットワーク接続に関しても当てはまります。.
セキュリティ研究者は、Windowsレジストリおよびオペレーティングシステムの他の重要なコンポーネントに対して大幅な設定変更が行われていることに注意しています。. また、侵入先のマシンに他の脅威をダウンロードするために使用することもできます.
EmotetBankingTrojanが高度な攻撃機能をバンドルするようになりました
Emotetバンキングトロイの木馬の新しいリリースのいくつかは、モジュラーエンジンを含むことが判明しています. ハッカーは、感染前の段階で取得した偵察データに基づいて、被害者のマシンに送信する追加のコンポーネントを指定できます。. 部分的なリストには、次のモジュールが含まれています: スパムモジュール, ネットワークワームの伝播, メールパスワードビューアとWebブラウザパスワードビューア. Emotetトロイの木馬インスタンスは、事前に記録されたパターンに従い、オペレーターから新しい指示を受け取ることにより、インテリジェントな方法でハッカーサーバーと対話する機能を備えています。.
Emotetバンキング型トロイの木馬は、追加のコンポーネントで広範囲に更新できます. ハッカー集団に応じて、それらはさまざまなタイプであり、感染シーケンスのさまざまな段階を網羅する可能性があります. たとえば、ハッカーは新しい侵入手法を考案できます, ハッキングツールまたはステルス保護機能.
新しいサンプルは、Windowsマウントポイントマネージャーと直接相互作用することがわかっています。これにより、犯罪者はシステム以外のパーティションも標的にすることができます。. これには、外付けハードドライブが含まれます, リムーバブルストレージデバイスとネットワーク共有. このような手法により、ハッカーは後の感染プロセスでより多くのデータにアクセスできるようになります。.
ネットワーク活動が開始され、ハッカーが偽のWebエージェントを利用すると、Emotetバンキング型トロイの木馬は、人気のあるWebブラウジングアプリケーションのいずれかとして自分自身を隠すことができます。. リストには次のものが含まれます: Mozilla Firefox, グーグルクローム, マイクロソフトエッジ, インターネットエクスプローラ, オペラとサファリ.
感染後のプロセスには、感染したホストからのデータ抽出も含まれる場合があります. これには、地域のユーザー設定などの情報が含まれます. 収集された値は、ハッカーがシステムデータとともに使用して、地理的な場所とユーザーの好みに基づいて、侵害されたマシンを認識してフィルタリングします。. これは、ローカライズされた言語でさまざまなメッセージを表示するために使用されます。.
Emotetトロイの木馬のセキュリティ対策
Emotetバンキング型トロイの木馬の新しいバージョンは、アクティブなサンドボックスに信号を送る特定のユーザー名とホスト名を探すテンプレートセキュリティチェックを使用します, 仮想マシンまたはデバッグ環境. このような文字列が検出されると、予備的な情報収集段階に到達する前でも、Emotetバンキング型トロイの木馬が停止する可能性があります。. 例には次の名前が含まれます: “管理者”, “VirtualBox”, “VMWare”, “[ID]-PC” や。。など.
サンドボックスまたはデバッグシステムに起因する標識とファイルを効果的に配置することによって. ユーザーは次のファイルの作成を試みることができます:
- C:\a foobar.bmp
- C:\a foobar.gif
- C:\a foobar.doc
- C:\email.doc
- C:\email.htm
- C:\123\email.doc
- C:\123\email.docx
Emotetバンキング型トロイの木馬は、次のような脅威に関連付けられているフォルダにある一連のファイルを探しているようです。 “C:\a” と “C:\123” そしてその メインCパーティション.
他の手法を使用する可能性のある高度な形式のEmotetバンキング型トロイの木馬から身を守るために、プロフェッショナルグレードのソリューションを採用することを強くお勧めします。.
スパイハンタースキャナーは脅威のみを検出します. 脅威を自動的に削除したい場合, マルウェア対策ツールのフルバージョンを購入する必要があります.SpyHunterマルウェア対策ツールの詳細をご覧ください / SpyHunterをアンインストールする方法
マーティン・ベルトフ
マーティンはソフィア大学で出版の学位を取得して卒業しました. サイバーセキュリティ愛好家として、彼は侵入の最新の脅威とメカニズムについて書くことを楽しんでいます.
フォローしてください: