오랫만에, 봇넷, Emotet 트로이 목마 프로그램을 내놓고 내장, 인터넷 분야와 공격에 반환: 그것은 스팸 더 목표로 악성 코드를 전파 발생하기 시작했다. 악성 우편물은 독일에서 볼 수 있습니다, 폴란드, 영국, 이탈리아와 미국.
에이관측 ccording, 감정 표현 C&C 서버는 석 달 동안 자신을 명시하지 않았다 – 비영리 조직에 따라 Spamhaus, 그들의 활동은 제로로 떨어졌다 6 월 초에.분명히, 봇넷의 운영자는 정보 보안 전문가의 가짜 봇을 정리하기로 결정, 인프라의 신뢰성을 확인하고 새로운 공격을 실행하기 전에 트로이 목마를 배포하는 해킹 사이트의 재고를 보충. Emotet 팀 서버는 8 월 말에 살아났다; 그만큼 첫 번째 메시지 새로운 스팸 캠페인은 트위터에 출연에 대해 월요일에, 9 월 16 일.
삑삑이 컴퓨터에 대한 봇넷 활동의 새로운 상승에 대해 언급, Cofense 연구소 전문가 유명한 그들은 이미에 대해 계산하는 것이 66 을 참조 만의 고유 이메일 30 천 개 악성 도메인 385 TLD 영역, 만큼 잘 3362 다른 발신자. 일부 캠페인은 사전 정의 된 타겟팅 카테고리에서 발신자 목록을 사용할 수있는 반면 것을 더 상태를 Cofense, 캠페인이 큰 공통이기 때문에 대부분의 경우에는 정의 된 대상이 없습니다.
“가정 사용자로부터 모든 방법을 정부 소유의 도메인. 송신자리스트는 타겟과 동일한 분산을 포함. 여러 번 우리가 연락처 목록 긁어하고 보낸 사람에 대한 대상 목록으로 사용 된 것으로 나타납니다의 보낸 사람을 사용하여 대상으로 정확한 보았다. 이 모양의 정부에의 B2B뿐만 아니라 모양의 정부를 포함 할 것”, - 보고서 Cofense 연구소 전문가.
공격자는 주로 금융 주제를 사용, 계속 대응으로 자신의 메시지를 마스크 및 첨부 파일에있는 정보를 읽도록 요청.
분석을 가리 켰을 때,, 첨부 된 Microsoft Word 문서는 악성 매크로가 포함. 를 시작하려면, 받는 사람은 해당 옵션을 활성화하기 위해 제공됩니다, 이 가정으로 필요하다고 설명하는 것은 마이크로 소프트와 라이센스 계약을 확인합니다 – 그렇지 않으면 텍스트 편집기 9 월에서 작동이 중단됩니다 20. 설득력을 위해서, 마이크로 소프트 로고가 거짓 메시지에 삽입.
사용자는 공격자의 명령을 따르는 경우, Emotet는 자신의 컴퓨터에 다운로드됩니다. 현재, 약 절반 VirusTotal 컬렉션에서 antiviruses의 악성 첨부 인식.
하나, Emotet 소유권을 확대하는 것은 새로운 스팸 캠페인의 유일한 목표는 아니다. 피해자의 컴퓨터를 기반으로, 악성 코드는 또 다른 트로이 목마를 인용 – Trickbot.
"처음에는 페이로드에 대한 명확한 답은 없었다, 일부 미국 기반의 호스트가 Trickbot을받은 경우에만 확인되지 않은 보고서, 은행 트로이 목마 악성 코드 적기를 설정, "Emotet 하락 이차 감염으로, - Cofense 연구소에보고.
정보 보안 전문가는 이후 Emotet을 모니터링 한 2014. 지난 기간 동안, 이 모듈 형 악성 코드, 원래 온라인 계정에서 돈을 훔치는 목표, 많은 새로운 기능을 얻고있다 – 특히, 이 응용 프로그램의 자격 증명을 도용하는 것을 배웠다, 로컬 네트워크에 독립적으로 확산 및 다른 악성 코드를 다운로드. 봇넷, 자신을 기준으로 작성, 다른 공격자에게 임대 종종 은행 트로이 목마를 전파하는 데 사용됩니다.
한 의견