Na een lange afwezigheid, het botnet, gebouwd baseren op de Emotet Trojan programma, terug naar het internet arena en aanvallen: het begon te genereren spam gericht verdere verspreiding van de malware. Schadelijke mailings worden gezien in Duitsland, Polen, het VK, Italië en de Verenigde Staten.
EENolgens observaties, emote C&C servers hebben zich niet manifesteren voor drie maanden – volgens de non-profit organisatie Spamhaus, hun activiteit tot nul gedaald begin juni.Blijkbaar, de exploitanten van de botnet besloten om het schoonmaken van de valse bots van informatiebeveiliging onderzoekers, de betrouwbaarheid van de infrastructuur en vullen de voorraad van gehackte sites voor het verdelen van de trojan voor de lancering van een nieuwe aanval. De Emotet team servers kwam pas tot leven aan het einde van augustus; De eerste berichten over de nieuwe spam-campagne verscheen op Twitter Op maandag, 16 september.
In een reactie op de nieuwe stijging van de botnet-activiteit voor Bleeping Computer, Cofense Labs experts dat is genoteerd dat ze al telde ongeveer 66 duizend unieke e-mails met betrekking tot 30 duizend kwaadaardige domeinen in 385 TLD zones, Net zoals 3362 verschillende afzenders. Cofense stelt verder dat terwijl sommige campagnes kan een afzender lijst uit een vooraf gedefinieerde targeting categorie gebruiken, voor het grootste deel zijn er geen concrete doelstellingen zoals gebruikelijk is voor campagnes deze grote.
“Van thuisgebruikers helemaal tot aan de overheid in handen domeinen. De afzender lijst bevat dezelfde dispersie als de targets. Vele keren dat we precies richten met behulp van een zender die de lijst met contactpersonen lijkt te zijn geschraapt en gebruikt als de doelstelling lijst voor die afzender gezien. Dit zou onder meer B2B als gov naar gov”, - verslag Cofense Labs specialisten.
Aanvallers gebruiken voornamelijk financiële topics, maskeren hun berichten als voortzetting van correspondentie en vraag hen om de informatie in de bijlage te lezen.
Zoals bleek uit de analyse, het bijgevoegde Microsoft Word-document bevat een kwaadaardige macro. Om het te starten, de ontvanger wordt aangeboden aan de overeenkomstige optie te activeren, uit te leggen dat het vermoedelijk noodzakelijk om de licentieovereenkomst met Microsoft te bevestigen – anders wordt de tekstverwerker zal ophouden te functioneren september 20. Omwille van de overtuigingskracht, het Microsoft-logo is in het valse bericht geplaatst.
Als de gebruiker volgt de aanwijzingen van de aanvallers, Emotet worden gedownload naar zijn machine. Momenteel, alleen over voor de helft van de antivirusprogramma's uit de VirusTotal collectie herkennen een schadelijke bijlage.
Echter, uitbreidende Emotet eigendom is niet het enige doel van de nieuwe spam-campagne. Op basis van de computer van het slachtoffer, de malware citeert een andere trojan – trickbot.
“In het begin was er geen definitief antwoord op de payload, alleen onbevestigde berichten dat sommige Amerikaanse gebaseerde hosts ontvangen Trickbot, een banking trojan gedraaid malware dropper, als een secundaire infectie daalde met Emotet”, - gerapporteerd in Cofense Labs.
Information security experts zijn het bewaken van Emotet sinds 2014. In de afgelopen periode, Deze modulaire malware, oorspronkelijk gericht op het stelen van geld van online accounts, heeft veel nieuwe functies opgedaan – Met name, geleerd om de geloofsbrieven van toepassingen te stelen, verspreid zelfstandig op een lokaal netwerk en download andere malware. het botnet, aangemaakt op basis daarvan, verhuurd aan andere aanvallers en wordt vaak gebruikt om banking Trojan verspreiden.
Een commentaar