Efter en lang fravær, den botnet, bygget basere på den Emotet Trojan-programmet, returneret til internettet arena og angreb: det begyndte at generere spam sigter yderligere spredning af malware. Ondsindede forsendelser ses i Tyskland, Polen, England, Italien og USA.
ENccording til observationer, emote C&C-servere ikke manifesterer sig i tre måneder – ifølge den nonprofitorganisation Spamhaus, deres aktivitet faldt til nul i begyndelsen af juni.Tilsyneladende, operatørerne af botnettet besluttet at rydde op i de falske bots af informationssikkerhed forskere, kontrollere pålideligheden af infrastrukturen og genopbygge bestanden af hackede websites til fordeling af trojan før lancering et nyt angreb. De Emotet hold servere kom kun til livet i slutningen af august; Det første meddelelser om den nye spam-kampagne optrådt på Twitter På mandag, 16th september.
I en kommentar til den nye bølge i botnet aktivitet for bleeping Computer, Cofense Labs eksperter bemærkes at de allerede talt om 66 tusind unikke e-mails med henvisning til 30 tusind ondsindede domæner i 385 TLD zoner, Såvel som 3362 forskellige afsendere. Cofense endvidere, at mens nogle kampagner kan anvende en afsender liste fra en foruddefineret målretning kategori, for det meste er der ingen definerede mål som er almindeligt for kampagner denne store.
“Fra hjemmebrugere hele vejen op til statsejede domæner. Afsenderen liste omfatter den samme spredning som målene. Mange gange, vi har set præcis målretning ved hjælp af en afsender, der er kontaktliste synes at være blevet skrabet og anvendt som mål liste for at afsender. Dette vil omfatte b2b samt gov at rege”, - rapport Cofense Labs specialister.
Angribere primært bruger finansielle emner, maske deres budskaber som fortsatte korrespondance og bede dem om at læse oplysningerne i den vedhæftede fil.
Da analysen viste, vedlagte Microsoft Word-dokument indeholder en ondsindet makro. For at starte det, modtageren bliver tilbudt at aktivere den tilsvarende valgmulighed, forklarer, at det er angiveligt nødvendigt at bekræfte licensaftalen med Microsoft – ellers teksteditoren vil ophøre med at fungere på September 20. Af hensyn til overtalelsesevne, Microsoft-logoet er indsat i det falske budskab.
Hvis brugeren følger anvisningerne fra angriberne, Emotet vil blive downloadet til sin maskine. I øjeblikket, kun omkring halvt af antiviruses fra VirusTotal samling genkende en ondsindet fastgørelse.
imidlertid, ekspanderende Emotet ejerskab er ikke det eneste mål for den nye spam-kampagne. Med udgangspunkt i ofrets computer, malware citerer en anden trojan – Trickbot.
”I begyndelsen var der ingen endeligt svar på nyttelasten, kun ubekræftede rapporter om, at nogle USA-baserede værter modtagne Trickbot, en bank trojan vendte malware dropper, som en sekundær infektion faldt Emotet”, - rapporteret i Cofense Labs.
Information sikkerhedseksperter har fulgt Emotet siden 2014. I løbet af den forløbne periode, denne modulære malware, oprindeligt til formål at stjæle penge fra online-konti, har fået mange nye funktioner – I særdeleshed, Det lærte at stjæle legitimationsoplysninger fra programmer, spredes selvstændigt på et lokalt netværk og hente andre malware. den botnet, skabt på grundlag heraf, udlejet til andre angribere, og er ofte brugt til at sprede bank Trojan.
En kommentar