Onderzoekers hebben een nieuwe variant van de Emotet Trojan ontdekt. De variant wordt gezegd dat functies die de malware kan helpen benutten voortplanten via interne netwerken.
actualisering van november 2017: De Emotet banking Trojan is bijgewerkt om een gevaarlijke nieuwe component die ernstige bezorgdheid heeft veroorzaakt onder de security community omvatten. De malware is nu in staat om gegevens te extraheren zelfs over beveiligde verbindingen. Het virus bestanden kunnen eenvoudig worden verzonden met de meest populaire infectie methoden en de laatste grote aanslagen bewezen dat het nog steeds een van de meest populaire payloads. Slachtoffers zijn onder eindgebruikers uit landen uit Europa, Het Midden-Oosten, Noord-Amerika en Azië. Leren hoe om te beschermen tegen Emotet Trojan nu.
Wat is de Emotet Trojan?
De laatste tijd, de trojan is waargenomen in een Fidelis Cybersecurity-blogpost en is geëvolueerd, Ook suggereert de acteurs achter de evolutie kan zijn geïnspireerd door de Wannacry en NotPetya malware-aanvallen die worm-achtige mogelijkheden benut om zich snel te verspreiden over netwerken.
Er is een piek in de Emotet gevallen geweest in de afgelopen week, bevestigde SophosLabs die hebben geblokkeerd computers klant. De trojan zelf is ontworpen om een gebruiker online bankgegevens te stelen. Hoewel het voornamelijk wordt beschouwd als een trojan, Emotet bevat ook de benodigde functionaliteit functies te worden geclassificeerd als een worm. Het verschil is dat een Trojaans vereist enige mate van maakbaarheid aan een individu misleiden zodat de infectie terwijl een worm kan van de ene naar een ander zonder de hulp van een gebruiker. Wanneer de Emotet trojan downloads, vloeit vervolgens naar andere ladingen te voeren. En hoewel het misschien niet een worm nog zijn, het heeft zeker de potentie om te downloaden en uit te voeren een andere component, zodat het zich kan verspreiden naar andere systemen.
Hoe werkt Emotet Work?
De infectie begint met de distributie via e-mail spam. De keten van gebeurtenissen wordt in de volgende volgorde uitgevoerd:
- Een spam e-mail met een download link in het wordt verzonden naar de inbox van het slachtoffer.
- De downloadlink zelf verwijst naar een Microsoft Word-document.
- Een VBA-code die decodeert en lanceert een Powershell script wordt gevonden binnen het document als het eenmaal is gedownload.
- Dit resulteert in de Powershell script probeert te downloaden en uitvoeren Emotet uit meerdere URL bronnen.
Een self-extracting WinRAR archief bevat alle noodzakelijke Emotet componenten. De WinRAR archief wordt geleverd met een groot woordenboek van zwakke en veelgebruikte wachtwoorden.
Emotet toegang krijgt met behulp van het wachtwoord woordenboek om toegang tot het netwerk systemen te krijgen. Wanneer toegang wordt verkregen, kopieert het zichzelf naar verborgen C $ of Admin $ aandelen. De kopie heeft de neiging de bestandsnaam van my.exe te worden gegeven; echter, andere bestandsnamen ook gezegd te zijn gebruikt.
De trojan bevat een ingebouwde lijst met strings waaruit kan kiezen uit twee woorden toe te voegen aan de bestandsnaam zal hoofdzakelijk gebruikt bij het wanneer infectie wordt geïnitieerd. De snaren door de trojan gekozen worden gezaaid die de harde schijf volume ID. Dit effectief leidt tot dezelfde harde schijf altijd het weergeven van dezelfde bestandsnaam voor elk geïnfecteerd systeem.
Een self-updating component is ook gedownload te zorgen dat de trojan is in staat om continu download de laatste kopie van zichzelf en andere modules. Deze component wordt opgeslagen als “/%ramen%
Andere modules die dit onderdeel downloads worden in feite gebruikt om referenties te verzamelen van andere kent toepassingen of in andere gevallen te oogsten e-mailadressen van Outlook PST-bestanden om ze te gebruiken in gerichte spam.
Wanneer de belangrijkste Emotet component wordt bijgewerkt door de updater component, het bovenliggende bestand wordt vervangen met dezelfde bestandsnaam opgebouwd uit dezelfde snaren eerder gekozen. De malware installeert vervolgens en loopt de vernieuwde exe als een Windows-service.
Onderzoekers hebben onlangs ook ontdekt Dridex en qbot infecties op Emotet-geïnfecteerde systemen. Er is een grote kans dat het vermogen Emotet naar andere payloads te downloaden en uit te voeren is in feite momenteel gebruikt om verdere geo-gerichte payloads implementeren.
Defensieve maatregel die u kunt nemen tegen Emotet
Sinds de ontdekking, de aanvaller verantwoordelijk voor de Emotet uitbraak heeft hierop gereageerd door het creëren van nieuwe varianten van de trojan als aanvallen voortduren, dus te profiteren van de malware de updatefunctie. Het IP-adres vanwaar payloads werden gedownload is ook veranderd als een reactie, omdat de aandacht van de malware gevangen onderzoeker.
componenten Emotet worden gedetecteerd als:
- Mal / Emotet
- HPmal / Emotet
- Troj / EmotetMem-A
Ter bescherming tegen malware exploiteren van een Microsoft kwetsbaarheden in het algemeen:
- Voer regelmatig updates en snel toe te passen.
- Als dat mogelijk is, vervangen oudere Windows-systemen met de nieuwste versie.
Andere advies omvat:
- Als u een Word-document via e-mail te ontvangen zonder het te weten de afzender, niet openen.
- Vergrendelen het delen van bestanden over het netwerk.
- Gebruik aanbevolen wachtwoord praktijken.
- Zorg ervoor dat gebruikers geen toegang standaard admin hebben.
- Block macro's in Office-documenten.
- Denk aan strenge e-mail gateway-instellingen.
- Gebruik een anti-virus met een on-access scanner (ook wel bekend als real-time bescherming).
