De Emotet malware is terug in actieve campagnes, security onderzoekers waarschuwden. Blijkbaar, de malware is ondergedoken in de documenten in spamberichten die doen alsof ze worden verzonden van financiële instellingen, of vermomd als Thanksgiving groeten voor medewerkers.
De laatste keer dat we schreven over Emotet was een jaar geleden, in november 2017, toen de banktrojan was opgewaardeerd tot een gevaarlijke component die ernstige bezorgdheid onder de security community veroorzaakt omvatten – het extraheren van gegevens zelfs via beveiligde verbindingen.
De bestanden kunnen gemakkelijk worden verzonden met het meest populaire infectie methoden. De nieuwe gerapporteerde aanslagen nogmaals te bewijzen dat [wplinkpreview url =”https://sensorstechforum.com/emotet-trojan-affects-internal-networks/”]Emmott blijft een van de meest populaire payloads, en dat de exploitanten zijn altijd op zoek naar nieuwe infectie methoden.
Emotet Nieuwe Phishing Functionaliteit
De Emotet malware actief werd op het einde van oktober van dit jaar. Dat is wanneer er een nieuwe plug-in die e-mail onderwerpen en 16KB van de e-mail lichamen exfiltrated werd ontdekt. Deze functionaliteit wordt momenteel gebruikt voor phishing templates te verbeteren.
De Thanksgiving Phishing Scam
Forcepoint onderzoekers gedetecteerd een zorgvuldig gemaakte e-mail die “some vrolijke Thanksgiving woorden” opgenomen. Zoals gemeld, deze e-mail zag volumes van meer dan 27,000 In de periode tussen 07.30 IS en 17:00 EST in een enkele dag. Dit is wat de e-mail lichaam zegt:
Hi,
In dit seizoen van dankbaarheid, we zijn vooral dankbaar, die zo hard hebben gewerkt om te bouwen en het succes van ons bedrijf. Ik wens u en uw gezin een Thanksgiving vol zegeningen.
Kaart van de Thanksgiving Day hieronder.
Het document in de e-mail was in feite een XML-bestand doen alsof ze een .doc bestand. Het had onverwacht ingesloten macro's die leiden tot een PowerShell downloader voor de Emotet payload. Echter, het zou genoteerd moeten worden dat:
het document is in dit geval niet de gebruikelijke .doc of .docx, maar eerder een XML-bestand vermomd als een .doc, en de macro in dit geval maakt gebruik van de functie Shapes, wat uiteindelijk leidt tot de roeping van de shell functie met behulp van een WindowStyle van vbHide. De syntaxis voor het reservoir functie Shell( pathname, [ windowstyle ] ) waarbij pathname een programma of script kan zijn.
De resulterende uitvoer een zwaar versluierd commando. wanneer deobfucscated, de opdracht bleek de standaard PowerShell downloader routinematig waargenomen in Emotet campagnes, de onderzoekers toegevoegd.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: