Etter en lang fravær, botnet, bygget basere på Emotet Trojan program, returnert til Internett arena og angrep: det begynte å generere spam sikter videre spre malware. Ondsinnede utsendelser blir sett i Tyskland, Polen, Storbritannia, Italia og USA.
ENccording til observasjoner, Emotet C&C-servere ikke manifesterer seg i tre måneder – i henhold til den ideelle organisasjonen spamhaus, deres aktiviteten falt til null i begynnelsen av juni.Tilsynelatende, operatørene av botnet besluttet å rydde opp i falske roboter av informasjon sikkerhetsforskere, sjekke påliteligheten av infrastrukturen og fylle beholdningen av hackede nettsteder for å fordele trojan før du starter et nytt angrep. De Emotet teamet servere bare kom til liv i slutten av august; De første meldingene om den nye spam-kampanje dukket opp på Twitter på mandag, 16 september.
I en kommentar til den nye bølge i botnet aktivitet for piper Computer, Cofense Labs eksperter bemerket at de allerede regnet om 66 tusen unike e-poster med referanse til 30 tusen ondsinnede domener i 385 TLD soner, I tillegg til 3362 ulike avsendere. Cofense videre at mens noen kampanjer kan bruke en avsender liste fra en forhåndsdefinert målretting kategori, for det meste er det ingen definerte mål som er vanlig for kampanjer denne store.
“Fra hjemmebrukere helt opp til statseide domener. Avsenderen listen inneholder den samme dispersjon som mål. Mange ganger har vi sett nøyaktig skyting ved hjelp av en avsender som er kontaktlisten ser ut til å ha blitt kopiert og brukt som mål liste for at avsender. Dette vil inkludere B2B sykehu å gov”, - Rapporten Cofense Labs spesialister.
Angripere bruker hovedsakelig økonomiske emner, maskere sine meldinger som fortsetter korrespondanse og be dem om å lese informasjonen i vedlegget.
Som analysen viste, vedlagte Microsoft Word-dokument inneholder en skadelig makro. For å starte det, mottakeren blir tilbudt å aktivere den tilsvarende alternativ, forklarer at det er visstnok nødvendig for å bekrefte lisensavtale med Microsoft – ellers tekstredigeringsprogram vil slutte å fungere på September 20. For å få til overtalelses, Microsoft-logoen er satt inn i den falske meldingen.
Hvis brukeren følger instruksjonene fra angrip, Emotet vil bli lastet ned til sin maskin. For tiden, bare om halv av antiviruses fra Virustotal samling gjenkjenne en ondsinnet vedlegg.
derimot, utvide Emotet eierskap er ikke det eneste målet i den nye spam-kampanje. Basert på offerets datamaskin, malware siterer en annen trojaner – Trickbot.
“I begynnelsen var det ikke noe fasitsvar på nyttelast, bare ubekreftede rapporter om at noen USA-baserte verter mottatt Trickbot, en bank trojan slått malware dropper, som en sekundær infeksjon falt med Emotet”, - rapporterte i Cofense Labs.
Informasjon sikkerhetseksperter er overvåking Emotet siden 2014. Gjennom det siste periode, Denne modulære skadelig, opprinnelig sikte på å stjele penger fra online-kontoer, har fått mange nye funksjoner – Spesielt, han lærte å stjele legitimasjon fra programmene, spredd uavhengig av hverandre på et lokalt nettverk og last annen skadelig. botnet, opprettet på basis, utleid til andre angripere og blir ofte brukt til å spre banktjenester Trojan.
en kommentar