Emotet

Emotet Descrizione

cavallo di Troia emotet Emotet è iniziato come un trojan bancario circa cinque anni fa, ma si è trasformato in molto di più. Oggi è diventata una delle botnet e dei contagocce malware più pericolosi al mondo. Per monetizzare completamente gli attacchi, Emotet scende spesso trojan nuovo bancari, mietitrici e-mail, i meccanismi di auto-propagazione, ladri di informazioni, e anche ransomware.

I ricercatori della sicurezza hanno notato che gli attori delle minacce dietro Emotet hanno fatto una vacanza estiva, a partire da giugno 2019, in cui anche le attività di comando e controllo (C2) si sono fermate. Mentre i mesi estivi cominciavano a concludersi, tuttavia, i ricercatori della sicurezza iniziarono a vedere un aumento dell'attività dell'infrastruttura C2 di Emotet. A partire dal 16 settembre 2019, Emotet è già in piena attività con una campagna di spam rinvigorita, facendo affidamento sul social engineering.

Emotet si rivolge agli utenti di computer attraverso allettanti campagne e-mail di spam

Uno dei modi più ingegnosi e minacciosi attraverso i quali le vittime di infezione di Emotet è stato tramite il contenuto di e-mail rubato. Il malware eliminerebbe la posta in arrivo di una vittima e copierebbe le conversazioni esistenti, che poi utilizzerà nelle proprie e-mail. Emotet citerà i corpi dei messaggi reali in una "risposta" all'e-mail non letta di una vittima, nel tentativo di indurli ad aprire un allegato intriso di malware, solitamente sotto forma di un documento di Microsoft Word.

Non ci vuole molta immaginazione per vedere come qualcuno che si aspetta una risposta a una conversazione in corso possa essere ingannato in questo modo. Inoltre, imitando le conversazioni e-mail esistenti, inclusi i contenuti e-mail e le intestazioni Oggetto autentici, i messaggi diventano molto più casuali e difficili da filtrare in base ai sistemi anti-spam.

La cosa interessante è che Emotet non usa l'e-mail da cui ha rubato il contenuto per inviarlo a una potenziale vittima. Invece, invia la conversazione sollevata a un altro bot nella rete, che quindi invia l'e-mail da una posizione completamente diversa, utilizzando un server SMTP in uscita completamente separato.

Secondo i ricercatori della sicurezza, Emotet ha usato conversazioni via e-mail rubate in circa l'8,5% dei messaggi di attacco prima della sua pausa estiva. Tuttavia, poiché la stagione delle vacanze si è conclusa, questa tattica è diventata più importante, rappresentando quasi un quarto di tutto il traffico e-mail in uscita di Emotet.

Cybercrooks sfrutta Emotet per rubare dati personali

Gli strumenti a disposizione dei criminali informatici che cercano di rubare informazioni personali dai computer sono praticamente infiniti. Si dà il caso che Emotet è un tipo di minaccia malware che è altamente efficace a valorizzare in modo da campagne di spam e-mail di massa di lancio che si diffonde il malware progettato per rubare dati da un utente di computer ignaro. Il modo in cui funziona Emotet è aprire una backdoor per altre minacce informatiche ad alto rischio, come il cavallo di Troia Dridex, che è specificamente progettato per rubare dati a un utente di computer utilizzando tecniche di phishing aggressive.

Quando viene utilizzato per il giusto tipo di hacker o cybercrook, Emotet può essere utilizzato in un modo per infiltrarsi in un computer per caricare e installare più minacce malware. Anche così, le minacce installate in aggiunta possono essere più pericolose quando possono connettersi ai server di comando e controllo (C&C) per scaricare le istruzioni da eseguire sul sistema infetto.

Gli effetti di Emotet non dovrebbero mai essere presi alla leggera

In ogni caso di una minaccia malware di vasta portata come Emotet, gli utenti di computer dovrebbero prendere le precauzioni necessarie per prevenire un attacco di questo tipo. D'altro canto, coloro che sono stati attaccati da Emotet vorranno trovare la risorsa necessaria per rilevare ed eliminare in sicurezza la minaccia. Se si consente a Emotet di funzionare su un computer per un lungo periodo di tempo, il rischio che i dati vengano trasferiti in modo esponenziale aumenta.

Gli utenti di computer che potrebbero ritardare l'eliminazione di Emotet o prendere le dovute precauzioni metteranno a rischio i loro dati personali memorizzati sul PC, il che potrebbe causare gravi problemi come il furto di identità. Inoltre, Emotet è una minaccia difficile da rilevare, che è un processo che viene principalmente eseguito da una risorsa o un'applicazione antimalware aggiornata.

In ogni momento, gli utenti di computer devono prestare attenzione quando aprono e-mail con allegati, in particolare quelli che contengono allegati sotto forma di documenti di Microsoft Word, che è noto per essere un metodo che Emotet utilizza per diffondere malware.

Il ritorno di Emotet

Ad un certo punto nel 2019, i server di comando e controllo di Emotet sono stati bloccati lasciando i sistemi infettati dalla minaccia liberi di essere sotto il controllo degli autori dietro Emotet. Tuttavia, non troppo presto dopo l'arresto dei server C & C, Emotet è tornato dalla morte in cui gli hacker non solo il controllo guadagnato della Emotet, ma che stanno utilizzando i siti web legittimi per diffondere la minaccia tramite campagne di spam in primo luogo l'hacking dei siti.

Secondo quanto riferito, gli sviluppatori di Emotet hanno preso di mira circa 66.000 indirizzi e-mail per oltre 30.000 nomi di dominio, molti di quei domini appartenenti a siti legittimi che sono stati hackerati. Alcuni dei siti legittimi attaccati dai creatori di Emotet sono i seguenti:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

Fondamentalmente, vedremo un aumento delle infezioni da malware con il passare del tempo. Come ricercatori di Cisco Talos ha osservato: "Quando un gruppo di minaccia va in silenzio, è improbabile che ne andranno per sempre", elaborando: "Piuttosto, questo apre l'opportunità per un gruppo minaccia per ritorno con nuove IOC, le tattiche, le tecniche, e procedure o nuove varianti di malware che possono evitare il rilevamento esistente ".

Informazioni tecniche

Dettagli del file system

Emotet crea i seguenti file:
# Nome del file Dimensione MD5 Conto di detenzione
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 59
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
4 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
5 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
6 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
7 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
8 c:\users\vtc\downloads\4fg5i4hhrxlb.exe 143,360 78568e302c560975fcd94dd9a0a9376e 7
9 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
10 c:\windows\syswow64\yozzkzognj.exe 120,584 e2ff405f5eaf263d4d8a93bfc6e859fa 7
11 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
12 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
13 c:\users\vtc\downloads\2chprz_ixegs.exe 196,608 8a831c8be1460a0da440b3b8c0087db5 5
14 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
15 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
16 c:\users\vtc\downloads\eubvppgtru.exe 176,128 8ee51734c26d60331767a0d52a912761 4
17 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
18 c:\windows\syswow64\349mitq1lymvm.exe 147,720 80390316fcad7bbcd687a257bb95fea8 3
19 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
20 c:\users\vtc\downloads\yucdynkhb_o6.exe 180,224 71ed815e536c1bdf27bca03193d28f6f 2
21 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
22 c:\users\vtc\downloads\3rvisooo.exe 143,360 8b1e9ddcf559dc5ec9f9d3a0de4ad7da 2
23 c:\users\vtc\downloads\troj_generic_a26fae45def91b38f3750f8bb25a709a6502adcea0420906b0db14212a9a814d.exe 151,552 73b1382ee4db7d2b6f8e88a09e0d0ba9 1
24 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
25 c:\users\vtc\downloads\nyw9zo0unktg.exe 151,552 9f014cbcab40bffea72945ae8062394e 1
26 c:\windows\1956838695.exe 187,192 2470ec430218c72f6b0a991f44f6c0d1 1
Più file

Dettagli del registro

Emotet crea la seguente voce di registro o voci di registro:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Dichiarazione di non responsabilità del sito

Enigmasoftware.com non è associato, affiliato, sponsorizzato o di proprietà dei creatori o distributori di malware menzionati in questo articolo. Questo articolo NON deve essere confuso o confuso nell'essere associato in alcun modo alla promozione o all'approvazione di malware. Il nostro intento è quello di fornire informazioni che istruiscano gli utenti di computer su come rilevare e infine rimuovere malware dal proprio computer con l'aiuto di SpyHunter e/o le istruzioni di rimozione manuale fornite in questo articolo.

Questo articolo viene fornito "così com'è" e deve essere utilizzato solo a scopo informativo. Seguendo le istruzioni su questo articolo, l'utente accetta di essere vincolato dalla dichiarazione di non responsabilità. Non garantiamo che questo articolo ti aiuterà a rimuovere completamente le minacce malware sul tuo computer. Lo spyware cambia regolarmente; pertanto, è difficile pulire completamente una macchina infetta con mezzi manuali.

Lascia un commento

NON utilizzare questo sistema di commenti per domande di supporto o fatturazione. Per richieste di supporto tecnico SpyHunter, si prega di contattare direttamente il nostro team di supporto tecnico aprendo un ticket di supporto clienti tramite SpyHunter. Per problemi di fatturazione, fai riferimento alla nostra pagina "Domande o problemi di fatturazione?". Per domande generali (reclami, legali, stampa, marketing, copyright), visita la nostra pagina "Richieste di informazioni e feedback".