Depois de um longo ausência, o botnet, construído baseando-se no programa Emotet Trojan, voltou para a arena Internet e ataques: começou a gerar spams visando melhorar ainda mais espalhar o malware. mailings maliciosos são vistos na Alemanha, Polônia, o Reino Unido, Itália e EUA.
UMAe acordo com observações, emote C&servidores C não se manifestam por três meses – de acordo com a organização sem fins lucrativos Spamhaus, deles atividade caiu a zero No começo de junho.Pelo visto, os operadores do botnet decidiu limpar os bots falsas de pesquisadores de segurança da informação, verificar a confiabilidade da infra-estrutura e repor o estoque de sites invadidos para distribuir o Trojan antes de lançar um novo ataque. Os servidores da equipe Emotet só veio à vida no final de agosto; o primeiras mensagens sobre a nova campanha de spam apareceu no Twitter Na segunda-feira, 16 de setembro.
Comentando sobre o novo aumento na atividade botnet para Computador Bleeping, especialistas Cofense Labs notado que já contava sobre 66 mil e-mails exclusivos com referência a 30 mil domínios maliciosos em 385 zonas TLD, Assim como 3362 diferentes remetentes. Cofense afirma ainda que, enquanto algumas campanhas pode usar uma lista de remetentes de uma categoria segmentação predefinida, para a maior parte não há metas definidas, como é comum para campanhas esta grandes.
“De usuários domésticos todo o caminho até a domínios de propriedade do governo. A lista de remetentes inclui a mesma dispersão como os alvos. Muitas vezes temos visto preciso alvo usando um remetente que é lista de contatos parece ter sido raspadas e usado como a lista de alvos para esse remetente. Isto incluiria B2B, bem como gov para gov”, - Relatório de especialistas Cofense Labs.
Os atacantes usam principalmente assuntos financeiros, mascarar suas mensagens como correspondência contínua e pedir-lhes para ler as informações no acessório.
À medida que a análise mostrou, o documento do Microsoft Word em anexo contém uma macro maliciosa. Para lançá-lo, o destinatário é oferecido para ativar a opção correspondente, explicando que é supostamente necessária para confirmar o acordo de licença com a Microsoft – caso contrário, o editor de texto deixará de funcionar em setembro 20. Por uma questão de persuasão, o logotipo da Microsoft está inserido na mensagem falsa.
Se o usuário segue as instruções dos atacantes, Emotet será transferido para sua máquina. atualmente, só sobre metade dos antivírus da coleção VirusTotal reconhecer um anexo malicioso.
Contudo, expandindo propriedade Emotet não é o único objetivo da nova campanha de spam. Baseado no computador da vítima, o malware cita outro trojan – trickbot.
“No início não havia nenhuma resposta definitiva sobre a carga, apenas relatos não confirmados de que alguns hosts baseados em EUA receberam Trickbot, um trojan bancário virou-gotas malwares, como uma infecção secundária caiu Emotet”, - relatada em Cofense Labs.
especialistas em segurança da informação têm vindo a acompanhar Emotet desde 2014. Durante o período passado, este malware modular, originalmente destinado a roubar dinheiro de contas online, ganhou muitos novos recursos – Em particular, aprendeu a roubar credenciais de aplicações, espalhar de forma independente em uma rede local e baixar outros malwares. o botnet, criado em sua base, alugadas a outros atacantes e é frequentemente usado para espalhar Trojan bancário.
um comentário