Pesquisadores descobriram uma nova variante do Trojan Emotet. A variante é dito para utilizar recursos que podem ajudar o malware para propagar através de redes internas.
actualização de novembro 2017: O bancário Emotet Trojan foi atualizado para incluir um novo componente perigoso que tem causado sérias preocupações entre a comunidade de segurança. O malware é agora capaz de extrair dados até mesmo conexões mais seguras. Os arquivos de vírus pode ser facilmente enviado com a maioria dos métodos de infecção populares e os últimos grandes ataques provou que continua a ser um dos mais populares payloads. As vítimas incluem os usuários finais de países da Europa, O Oriente Médio, América do Norte e Ásia. Aprender como se proteger de Emotet Trojan agora.
Qual é o Emotet Trojan?
Recentemente, o trojan foi observado em uma postagem no blog da Fidelis Cybersecurity por ter evoluído, sugerindo também os atores por trás da evolução pode ter sido inspirado pelos ataques de malware Wannacry e NotPetya que utilizaram sem-fim-como capacidades para rapidamente se espalham através de redes.
Houve um aumento nos casos Emotet na semana passada, SophosLabs confirmados que bloquearam-lo a partir de computadores clientes. -se o trojan foi projetado para roubar dados bancários on-line de um usuário. Embora seja predominantemente considerado um trojan, Emotet também contém a funcionalidade necessária características para ser classificado como um verme. A diferença é que um trojan requer algum grau de engenharia social para enganar um indivíduo em permitindo a infecção enquanto que um worm pode se espalhar de um sistema para outro sem a ajuda de um usuário. Quando os downloads de tróia Emotet, Em seguida, ele segue para executar outras cargas. E embora possa não ser um verme ainda, ele certamente tem o potencial para baixar e executar um outro componente para que ele possa se espalhar para outros sistemas.
Como é que Emotet Trabalho?
A infecção começa com distribuição via e-mail de spam. A cadeia de eventos é realizada na seguinte ordem:
- Um e-mail de spam com um link para download em que é enviada para a caixa de entrada da vítima.
- O próprio link de download aponta para um documento Microsoft Word.
- A VBA código que decodifica e lança um script PowerShell é encontrado dentro do documento, uma vez que foi baixado.
- Isso resulta no script PowerShell que tentam fazer download e executar Emotet de várias fontes de URL.
Um arquivo de WinRAR auto-extraível contém todos os componentes necessários Emotet. O arquivo de WinRAR é empacotado com um grande dicionário de senhas fracas e frequentemente utilizadas.
ganhos Emotet acessar usando o dicionário de senha para ter acesso aos sistemas de rede. acesso uma vez é adquirida, ele se copia para oculto C $ ou de administração $ ações. A cópia tende a ser dado o nome do ficheiro de my.exe; Contudo, outros nomes são também disse ter sido usado.
O trojan contém uma lista embutida de cordas a partir do qual ele pode escolher duas palavras a acrescentar ao nome do arquivo que será essencialmente usar no quando a infecção é iniciada. As cordas escolhidos pelos trojan são semeados usando o volume ID disco rígido. Isto leva efetivamente para o mesmo disco rígido sempre exibindo o mesmo nome de arquivo para cada sistema infectado.
Um componente auto-atualização também é baixado para garantir o trojan é capaz de baixar continuamente a última cópia de si mesmo e outros módulos. Este componente é armazenado como “/%janelas%
Outros módulos que isto faz o download de componentes estão em vigor usado para reunir as credenciais de outro sabe aplicativos ou em outros casos colher endereços de correio electrónico a partir do Outlook PST arquivos para usá-los no spam alvo.
Quando o componente Emotet principal é atualizado pelo componente atualizador, o arquivo principal é substituído usando o mesmo nome composta pelas mesmas cordas escolhidos anteriormente. O malware em seguida, instala e executa o exe recém-atualizado como um serviço do Windows.
Pesquisadores recentemente descobriram também Dridex e infecções Qbot em sistemas Emotet-infectados. Há uma grande possibilidade de que a capacidade do Emotet para baixar e executar outras cargas úteis é de fato a ser usado para implantar outras cargas alvo geo-.
Medida defensiva você pode tomar contra Emotet
Desde a sua detecção, o atacante responsável pelo surto de Emotet respondeu criando novas variantes do cavalo de Troia à medida que os ataques persistem, portanto, aproveitando o recurso de atualização do malware. O endereço IP do qual as cargas estavam sendo baixadas também foi alterado como resposta desde que o malware chamou a atenção do pesquisador.
Os componentes do Emotet são detectados como:
- Mal / Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
Para se proteger contra malware que explora vulnerabilidades da Microsoft em geral:
- Faça atualizações regulares e aplique-as rapidamente.
- Se possível, substituir sistemas Windows mais antigos pela versão mais recente.
Outros conselhos incluem:
- Se você receber um documento do Word por e-mail sem conhecer o remetente, não abri-lo.
- Bloqueie o compartilhamento de arquivos na sua rede.
- Use práticas recomendadas de senha.
- Verifique se os usuários não têm acesso de administrador padrão.
- Bloquear macros em documentos do Office.
- Considere configurações estritas do gateway de email.
- Use um antivírus com um scanner ao acessar (também conhecida como proteção em tempo real).
