Emotet

Emotet Opis

emotet trojanski konj Emotet je započeo kao bankarski trojanac prije nekih pet godina, ali pretvorio se u mnogo više. U današnje vrijeme postao je jedan od najopasnijih botneta i bacača zlonamjernog softvera koji se unajmljuje. Kako bi u potpunosti unovčili napade, Emotet često odbacuje nove bankarske trojance, kombajne za e-poštu, mehanizme samopromočivanja, krađe informacija, pa čak i ransomware.

Sigurnosni istraživači primijetili su da su akteri prijetnji iza Emoteta uzeli ljetni odmor, počevši u lipnju 2019. godine, u kojem su čak i zapovijedne i kontrolne (C2) aktivnosti prestale. Kako su se ljetni mjeseci počeli zaključivati, sigurnosni istraživači počeli su primjećivati porast aktivnosti C2 infrastrukture Emoteta. Od 16. rujna 2019. Emotet je već u punom pogonu s pojačanom kampanjom za neželjenu poštu, oslanjajući se na socijalni inženjering.

Emotet cilja korisnike računala putem mamljivih kampanja za neželjenu poštu

Jedan od najvažnijih genijalnih načina na koji su žrtve Emoteta bile ukradene putem e-pošte. Zlonamjerni softver prelazio bi u pristiglu poštu žrtve i kopirao postojeće razgovore, koje će potom koristiti u svojim e-mailovima. Emotet će citirati tijela stvarnih poruka u "odgovoru" na nepročitani e-mail žrtve, u namjeri da ih navelo da otvore privitak priloženi malwareu, obično pod krinkom dokumenta Microsoft Word.

Ne treba puno mašte da biste vidjeli kako se netko koji očekuje odgovor na razgovor koji je u tijeku mogao zavarati na ovaj način. Nadalje, oponašanjem postojećih razgovora putem e-pošte, uključujući originalni sadržaj e-pošte i zaglavlja predmeta, poruke postaju mnogo slučajnije i izazovnije za filtriranje po sustavima protiv neželjene pošte.

Ono što je zanimljivo je da Emotet ne koristi e-poštu iz koje je ukrao sadržaj da bi ga poslao potencijalnoj žrtvi. Umjesto toga, podignuti razgovor šalje drugom botu u mreži, a zatim e-poštu šalje s potpuno drugog mjesta, koristeći potpuno odvojeni odlazni SMTP poslužitelj.

Prema sigurnosnim istraživačima, Emotet je koristio ukradene razgovore putem e-pošte u oko 8,5 posto poruka o napadu prije ljetnog stanja. S obzirom da se sezona godišnjih odmora pri kraju, ova je taktika postala sve istaknutija i čini gotovo četvrtinu cjelokupnog Emotetovog odlaznog prometa putem e-pošte.

Cybercrooks koriste Emotet za krađu osobnih podataka

Alati na raspolaganju cybercrooksima koji žele ukrasti osobne podatke s računala gotovo su beskrajni. Jednostavno se događa da je Emotet vrsta prijetnje od zlonamjernog softvera koja je vrlo učinkovita u iskorištavanju načina na pokretanje masovnih kampanja protiv neželjene pošte koja širi zlonamjerni softver osmišljen za krađu podataka od nesumnjivog korisnika računala. Način na koji Emotet djeluje je otvaranje stražnjih vrata za ostale računalne prijetnje visokog rizika, kao što je trojanski konj Dridex, koji je posebno dizajniran za krađu podataka od korisnika računala koristeći agresivne tehnike krađe identiteta.

Kad ga koristi ispravna vrsta hakera ili cybercrook-a, Emotet se može koristiti na način da se infiltrira u računalo za učitavanje i instaliranje više prijetnji zlonamjernim softverom. Uprkos tome, dodatno instalirane prijetnje mogu biti opasnije tamo gdje se mogu povezati na poslužiteljski i upravljački (C&C) poslužitelj radi preuzimanja uputa koje se izvode na zaraženom sustavu.

Učinke Emoteta nikada ne treba uzimati olako

U svakom slučaju, prijetnja od zlonamjernog softvera dalekosežna kao Emotet, korisnici računala trebali bi poduzeti potrebne mjere opreza kako bi spriječili napad. S druge strane, oni koji su napali Emoteta htjet će pronaći potrebni resurs za sigurno otkrivanje i uklanjanje prijetnje. Ako dopustite da se Emotet pokreće na računalu tijekom dužeg vremenskog razdoblja, rizik od ekstenzibilnog ukrašavanja podataka povećava se.

Korisnici računala koji mogu odgoditi uklanjanje Emoteta ili poduzimanje odgovarajućih mjera opreza izložit će svoje osobne podatke pohranjene na računalu, što bi moglo dovesti do ozbiljnih problema poput krađe identiteta. Štoviše, Emotet je teško otkriti prijetnju, a to je postupak koji prvenstveno izvodi ažurirani antimalware resurs ili aplikacija.

Korisnici računala uvijek bi trebali biti oprezni prilikom otvaranja e-poruka s prilozima, posebno one koji sadrže privitke u obliku dokumenata Microsoft Word, što je poznato da je metoda kojom Emotet koristi za širenje zlonamjernog softvera.

Povratak Emoteta

U jednom trenutku 2019. godine, Emotetovi poslužitelji za upravljanje i kontrolu na kojima se zatvaralo ostavljajući sustav zaražene prijetnjom da ne mogu biti pod kontrolom počinitelja iza Emoteta. Međutim, nedugo nakon zatvaranja C&C servera, Emotet se vratio iz mrtvih, gdje su hakeri ne samo stekli kontrolu nad Emotetom, već koriste legitimne web stranice za širenje prijetnje putem neželjene kampanje prvo hakiranje web stranica.

Emotetovi programeri navodno su ciljali na oko 66.000 adresa e-pošte za preko 30.000 imena domena, od kojih su mnoge domene pripadale zakonitim web lokacijama koje su bile hakirane. Neke legitimne web lokacije koje su stvorili Emoteti napali su sljedeće:

  • biyunhui []. com
  • broadpeakdefense []. com
  • charosjewellery []. co.uk
  • customernoble []. com
  • holyurbanhotel []. com
  • keikomimura []. com
  • lecairtravels []. com
  • mutlukadinlarakademisi []. com
  • nautcoins []. com
  • taxolabs []. com
  • think1 []. com

U osnovi, vidjet ćemo porast zaraze zlonamjernim softverom sigurno kako vrijeme odmiče. Kao što su istraživači iz Cisco Talosa primijetili: "Kad prijetnja ne prestane, vjerovatno je da ih neće nestati zauvijek", razrađujući: "Umjesto toga, prijetnja grupi se vraća s novim MOK-ima, taktikama, tehnikama i postupaka ili novih inačica zlonamjernog softvera koji mogu izbjeći postojeće otkrivanje. "

Tehničke informacije

Snimke zaslona i ostale slike

Emotet Image 1 Emotet Image 2

Pojedinosti o datotečnom sustavu

Emotet stvara sljedeće datoteke:
# Naziv datoteke Veličina MD5 Detection Count
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N/A
30 C:\Windows\System32\46615275.exe N/A
31 C:\Windows\System32\shedaudio.exe N/A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N/A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N/A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N/A
Više datoteka

Pojedinosti registra

Emotet stvara sljedeće unose u registre ili unose u registar:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Izjava o odricanju odgovornosti za mjesto

Enigmasoftware.com nije povezan, povezan, sponzoriran ili u vlasništvu tvorca ili distributera zlonamjernog softvera spomenutog u ovom članku. Ovaj se članak NE smije zamijeniti ili zamijeniti na bilo koji način povezan s promocijom ili potvrđivanjem zlonamjernog softvera. Namjera nam je pružiti informacije koje će educirati korisnike računala o tome kako otkriti i u konačnici ukloniti zlonamjerni softver s njihovog računala uz pomoć SpyHunter i/ili upute za ručno uklanjanje na ovom članku.

Ovaj je članak dan "kakav jest" i koristi se samo u obrazovne informacije. Pridržavajući se bilo kakvih uputa u ovom članku, prihvaćate da će biti obvezani odricanjem od odgovornosti. Ne jamčimo da će vam ovaj članak pomoći da u potpunosti uklonite prijetnje od zlonamjernog softvera na vašem računalu. Špijunski softver se redovito mijenja; stoga je teško u potpunosti očistiti zaraženi stroj ručnim sredstvima.

Ostavite odgovor

Molimo NE koristite ovaj sustav komentara za pitanja podrške i naplate. Za zahtjeve za tehničku podršku SpyHunter izravno kontaktirajte naš tim za tehničku podršku otvaranjem ulaznice za korisničku podršku putem vašeg SpyHunter. Za probleme s naplatom pogledajte našu stranicu "Pitanja s naplatom ili problemi? Za opće upite (pritužbe, pravni, tisak, marketing, autorska prava) posjetite našu stranicu "Pitanja i povratne informacije".

Po GoldSparrow u Trojans
Prevedi na: English Albanian Chinese (Simplified) Chinese (Traditional) Czech Danish Dutch Español Finnish French German Greek Hungarian Italian Japanese Lithuanian Norwegian Polish Português Russian Swedish
Threat Scorecard
?
The ESL Threat Scorecard is an assessment report that is given to every malware threat that has been collected and analyzed through our Malware Research Center. The ESL Threat Scorecard evaluates and ranks each threat by using several metrics such as trends, incidents and severity over time.

In addition to the effective scoring for each threat, we are able to interpret anonymous geographic data to list the top three countries infected with a particular threat. The data used for the ESL Threat Scorecard is updated daily and displayed based on trends for a 30-day period. The ESL Threat Scorecard is a useful tool for a wide array of computer users from end users seeking a solution to remove a particular threat or security experts pursuing analysis and research data on emerging threats.

Each of the fields listed on the ESL Threat Scorecard, containing a specific value, are as follows:

Ranking: The current ranking of a particular threat among all the other threats found on our malware research database.

Threat Level: The level of threat a particular computer threat could have on an infected computer. The threat level is based on a particular threat's behavior and other risk factors. We rate the threat level as low, medium or high. The different threat levels are discussed in the SpyHunter Risk Assessment Model.

Infected Computer: The number of confirmed and suspected cases of a particular threat detected on infected computers retrieved from diagnostic and scan log reports generated by SpyHunter's Spyware Scanner.

% Change: The daily percent change in the frequency of infected computers of a specific threat. The formula for percent changes results from current trends of a specific threat. An increase in the rankings of a specific threat yields a recalculation of the percentage of its recent gain. When a specific threat's ranking decreases, the percentage rate reflects its recent decline. For a specific threat remaining unchanged, the percent change remains in its current state. The % Change data is calculated and displayed in three different date ranges, in the last 24 hours, 7 days and 30 days. Next to the percentage change is the trend movement a specific malware threat does, either upward or downward, in the rankings. Each level of movement is color coded: a green up-arrow (∧) indicates a rise, a red down-arrow (∨) indicates a decline, and a brown equal symbol (=) indicates no change or plateaued.

Top 3 Countries Infected: Lists the top three countries a particular threat has targeted the most over the past month. This data allows computer users to track the geographic distribution of a particular threat throughout the world.
Ranking: N/A
Threat Level: 8
Infected Computers: 4,237