Emotet

Emotet Beskrivelse

serieelsesladet trojansk hest Emotet startede som en bank-trojan for nogle fem år siden, men er blevet så meget mere. I dag er det blevet en af de farligste botnets og malware-droppers-til-leje i verden. For fuldt ud at tjene penge på angrebene, dropper Emotet ofte nye bank-trojanere, e-mail-høstere, selvudbredelsesmekanismer, informationsstealere og endda ransomware.

Sikkerhedsforskere bemærkede, at trusselsaktørerne bag Emotet tog en sommerferie, der startede i juni 2019, hvor endda kommando- og kontrolaktiviteterne (C2) stoppede. Da sommermånederne begyndte at komme til deres slutning, begyndte sikkerhedsforskere imidlertid at se en stigning i aktiviteten af Emotets C2-infrastruktur. Fra 16. september 2019 er Emotet allerede i fuldt udstyr med en genopfrisket spam-kampagne, der er afhængig af social engineering.

Emotet er rettet mod computerbrugere gennem lokkende e-mail-kampagner

En af de mest geniale og truende måder, hvorpå Emotet-inficerede ofre var gennem stjålet e-mail-indhold. Malware vil skubbe et offer's indbakke og kopiere eksisterende samtaler, som det derefter vil bruge i sine egne e-mails. Emotet citerer ligene af virkelige meddelelser i et "svar" på et offer's ulæste e-mail, i et forsøg på at narre dem til at åbne en vedhæftet fil med tilknyttet malware, normalt i form af et Microsoft Word-dokument.

Det kræver ikke meget fantasi at se, hvordan nogen, der forventer svar på en igangværende samtale, kunne narre på denne måde. Ved at efterligne eksisterende e-mail-samtaler, inklusive ægte e-mail-indhold og Emneoverskrifter, bliver meddelelserne endvidere meget mere randomiserede og udfordrende at filtrere efter anti-spam-systemer.

Det, der er interessant, er, at Emotet ikke bruger den e-mail, hvorfra den stjal indhold, for at sende den til et potentielt offer. I stedet sender den den løftede samtale til en anden bot i netværket, der derefter sender e-mailen fra et helt andet sted ved hjælp af en helt separat udgående SMTP-server.

Ifølge sikkerhedsforskere brugte Emotet stjålne e-mail-samtaler i ca. 8,5 procent af angrebsmeddelelser før dets sommerhiatus. Da feriesæsonen er afsluttet, er denne taktik imidlertid blevet mere fremtrædende og tegner sig for næsten en fjerdedel af al Emotets udgående e-mail-trafik.

Cybercrooks gearing Emotet til at stjæle personlige data

Værktøjerne til rådighed for cybercrooks, der ønsker at stjæle personlige oplysninger fra computere, er næsten uendelige. Det sker lige så, at Emotet er en type malware-trussel, der er yderst effektiv til at udnytte på en måde at starte massespam-e-mail-kampagner, der spreder malware designet til at stjæle data fra en intetanende computerbruger. Den måde, hvorpå Emotet fungerer, er at åbne en bagdør for andre højrisiko-computertrusler, såsom Dridex-trojanhesten, som specifikt er designet til at stjæle data fra en computerbruger ved hjælp af aggressive phishing-teknikker.

Når det bruges af den rigtige type hacker eller cybercrook, kan Emotet bruges på en måde til at infiltrere en computer til at indlæse og installere flere malware-trusler. Alligevel kan de ekstra installerede trusler være mere farlige, hvor de kan oprette forbindelse til kommandoer og kontrol (C&C) servere for at downloade instruktioner til at udføre på det inficerede system.

Effekten af Emotet bør aldrig tages let

I alle tilfælde af en malware-trussel så vidtgående som Emotet, bør computerbrugere tage de nødvendige forholdsregler for at forhindre et angreb fra sådan. På flip side vil dem, der er angrebet af Emotet, ønsker at finde den nødvendige ressource til sikkert at opdage og fjerne truslen. Hvis man tillader Emotet at køre på en computer i en længere periode, øges risikoen for at få data ekspederet eksponentielt.

Computerbrugere, der kan forsinke med at eliminere Emotet eller tage de rette forholdsregler, sætter deres personlige data, der er gemt på deres pc, i fare, hvilket kan føre til alvorlige problemer som identitetstyveri. Desuden er Emotet en vanskelig trussel at opdage, som er en proces, der primært udføres af en opdateret antimalware-ressource eller -program.

Computibrugere skal til enhver tid være forsigtige, når de åbner e-mails med vedhæftede filer, specifikt dem, der indeholder vedhæftede filer i form af Microsoft Word-dokumenter, som er kendt for at være en metode, som Emotet bruger til at sprede malware.

Emotets tilbagevenden

På et tidspunkt i 2019 var Emotets kommando- og kontrolserver lukkede, hvilket efterlader systemer inficeret af truslen fri for at være under kontrol af gerningsmændene bag Emotet. Dog ikke alt for hurtigt efter lukningen af C & C-serverne kom Emotet tilbage fra de døde, hvor hackere ikke kun fik kontrol over Emotet, men de bruger legitime websteder til at sprede truslen via spam-kampagner ved først at hacking webstederne.

Emotets udviklere har angiveligt målrettet omkring 66.000 e-mail-adresser til over 30.000 domænenavne, mange af disse domæner tilhører legitime websteder, der blev hacket. Nogle af de legitime websteder, der er angrebet af skaberne af Emotet, er følgende:

  • biyunhui [.] dk
  • broadpeakdefense [.] dk
  • charosjewellery [.] co.uk
  • customernoble [.] dk
  • holyurbanhotel [.] dk
  • keikomimura [.] dk
  • lecairtravels [.] dk
  • mutlukadinlarakademisi [.] dk
  • nautcoins [.] dk
  • taxolabs [.] dk
  • think1 [.] dk

Grundlæggende vil vi se en stigning i malware-infektioner, så sikre, at tiden skrider frem. Som forskere fra Cisco Talos bemærkede: "Når en trusselgruppe går stille, er det usandsynligt, at de vil være væk for evigt." procedurer eller nye malware-varianter, der kan undgå eksisterende detektion. "

Teknisk information

Skærmbilleder og andet billede

Emotet Image 1 Emotet Image 2

Detaljer om filsystem

Emotet opretter følgende fil (er):
# Filnavn Størrelse MD5 Registreringsantal
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N/A
30 C:\Windows\System32\46615275.exe N/A
31 C:\Windows\System32\shedaudio.exe N/A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N/A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N/A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N/A
Flere filer

Registreringsoplysninger

Emotet opretter følgende registreringsdatabase eller registreringsdatabase poster:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Ansvarsfraskrivelse

Enigmasoftware.com er ikke tilknyttet, tilknyttet, sponsoreret eller ejet af malware-skabere eller distributører nævnt i denne artikel. Denne artikel skal IKKE forveksles eller forveksles med at være forbundet på nogen måde med promovering eller godkendelse af malware. Vores hensigt er at give oplysninger, der vil uddanne computerbrugere om, hvordan de kan opdage og i sidste ende fjerne malware fra deres computer ved hjælp af SpyHunter og/eller manuel fjernelsesinstruktioner, der findes i denne artikel.

Denne artikel leveres "som den er" og skal kun bruges til uddannelsesinformation. Ved at følge enhver instruktion om denne artikel accepterer du at være bundet af ansvarsfraskrivelsen. Vi garanterer ikke, at denne artikel hjælper dig med at fjerne malware-truslerne på din computer. Spyware ændres regelmæssigt; derfor er det vanskeligt at rengøre en inficeret maskine fuldt ud ved hjælp af manuelle midler.

Efterlad et Svar

Brug IKKE dette kommentarsystem til support- eller faktureringsspørgsmål. For anmodninger om teknisk support fra SpyHunter, bedes du kontakte vores tekniske supportteam direkte ved at åbne en kundesupportbillet via din SpyHunter. Se faktureringsspørgsmål på siden "Faktureringsspørgsmål eller problemer?". For generelle forespørgsler (klager, juridiske, presse, markedsføring, copyright), besøg vores side "Forespørgsler og feedback".