После нескольких месяцев молчания Emotet вернулся с новой вредоносной спам-кампанией

от Gabriel E. Hall - -

Вредоносные электронные письма поражают США, Германию, Польшу, Италию и Великобританию. Обнаружена доставка вредоносного компонента Emotet

Emotet malwareИсследователи обнаружили кампании вредоносное ПО Emotet, поражающие бизнесы правительственные учреждения и отдельных пользователей по всему миру. После затишья, в начале лета, банковские вредоносные программы дали о себе знать 22-го августа когда было замечено, что серверы C2 активно отвечают на запросы. Такое поведение привлекло внимание исследователей, и именно так они раскрыли новую кампанию.

Атака Malspam в основном использует «Уведомление о платёжном переводе» и подобные сюжетные линии. Она направлена на то, чтобы заставить людей открывать вложения, запрашивающие включение вредоносных макросов. Это запускает команды, и Emotet загружается из скомпрометированных сайтов. В большинстве случаев такие страницы основаны на WordPress. ,

Список сайтов, скомпрометированных в этой недавней вредоносной кампании Emotet:

  • customernoble.com
  • taxolabs.com
  • www.mutlukadinlarakademisi.com
  • www.holyurbanhotel.com
  • www.biyunhui.com
  • nautcoins.com
  • keikomimura.com
  • charosjewellery.co.uk
  • think1.com
  • broadpeakdefense.com
  • lecairtravels.com.

Вредоносные программы Emotet становятся сильнее: поражая десятки тысяч электронных писем

Согласно многим сообщениям, вредоносная угроза поражает 66 000 эмейлов и использует 30 000 доменных имен. В основном заражая жертв из Германии и Польши, троянская кампания Emotet была впервые обнаружена в понедельник. После получения email адресов, создатели вирусов отправляют сообщения с исполняемыми файлами, ссылками для скачивания и другими вредоносными компонентами, используемыми для доставки Emotet.

Затем вредоносная программа действует как загрузчик для других угроз, таких как Ryuk вымогатель. 

From home users all the way up to government owned domains. The sender list includes the same dispersion as the targets. Many times we’ve seen precise targeting using a sender who’s contact list appears to have been scraped and used as the target list for that sender. This would include b2b as well as gov to gov.

Вначале Emotet был банковским трояном, а затем был переписан для работы в качестве загрузчика вредоносных программ. Троян — один из крупнейших ботнетов, и такое возвращение было ожидаемо. Однако активность на серверах, которая была замечена еще в августе, привела к общему восстановлению связи с зараженными ботами и максимизировала размер ботнета.

Различные команды для жертв из разных уголков мира

Само уведомление по электронной почте, как обычно для вредоносного спама, содержит финансовую тему и выглядит как непрерывное электронное письмо от предыдущего разговора. Как видно из примеров польского и немецкого вредоносного спама, отправитель использует один из следующих сценариев:

  • предупреждает об изменении email адреса
  • информирует о квитанции 
  • утверждает о проблемах с налогами

Все эти сценарии используются, чтобы убедить получателя открыть вложенный документ и запустить вредоносный макрос-код.

После дальнейшего анализа вредоносная кампания показала, что конкретный вариант Emotet доставляет вложение электронной почты, содержащее либо предупреждение от Microsoft Office, в котором говорится о лицензионном соглашении, либо предупреждение о том, что используемая жертвой копия Word не будет работать после 20 сентября. Подобные тактики помогают обманным путем заставить людей включить макросы, тем самым установив Emotet на компьютер.

Что касается итальянских жертв, электронное письмо содержит тему «Numero Fattura 2019…». После включения макросы позже запускают команду PowerShell, использующую URL-адрес взломанного веб-сайта, и именно здесь можно извлечь вредоносную полезную нагрузку. Ботнет готов атаковать предприятия, поэтому организации должны знать, что Emotet полностью вернулся в действие.

После нескольких месяцев молчания Emotet вернулся с новой вредоносной спам-кампанией снимок
После нескольких месяцев молчания Emotet вернулся с новой вредоносной спам-кампанией снимок

О авторе

Gabriel E. Hall
Gabriel E. Hall - Пылкий исследователь интернета

Gabriel E. Hall - это пылкий исследователь вредоносных программ, которая работает

Обратитесь к Gabriel E. Hall
О компании Esolutions

Источник: https://www.2-spyware.com/after-months-of-silence-emotet-came-back-with-a-new-malspam-campaign

Читать на других языках


Файлы
Программы
Сравнить
Нравится, мы в Facebook’e