Emotet

Trusselscorekort

Rangering: 9,175
Trusselnivå: 80 % (Høy)
Infiserte datamaskiner: 4,853
Først sett: June 28, 2014
Sist sett: September 8, 2023
OS(er) berørt: Windows

emosjonell trojansk hest Emotet startet som en bank-trojan for noen fem år siden, men har blitt så mye mer. I dag har det blitt en av de farligste botnettene og malware-dropper-for-hire i verden. For å tjene penger på angrepene, dropper Emotet ofte nye banktrojanere, e-posthøstere, selvutbredelsesmekanismer, informasjonsstealere og til og med ransomware.

Sikkerhetsforskere bemerket at trusselaktørene bak Emotet tok en sommerferie, med start i juni 2019, der til og med kommando- og kontrollaktivitetene (C2) ble stoppet. Da sommermånedene begynte å komme til sin konklusjon, begynte imidlertid sikkerhetsforskere å se en økning i aktiviteten til Emotets C2-infrastruktur. Fra og med 16. september 2019 er Emotet allerede i full redskap med en fornyet spamkampanje, og er avhengig av sosial ingeniørarbeid.

Emotet er rettet mot databrukere gjennom lokkende e-postkampanjer

En av de mest geniale og truende måtene Emotet-smittede ofre var gjennom stjålet e-postinnhold. Den skadelige programvaren vil sveipe et offerets innboks og kopiere eksisterende samtaler, som den deretter vil bruke i sine egne e-poster. Emotet vil sitere likene til virkelige meldinger i et "svar" på et offerets uleste e-post, i et forsøk på å lure dem til å åpne et vedlegg med snakk om skadelig programvare, vanligvis i form av et Microsoft Word-dokument.

Det krever ikke mye fantasi å se hvordan noen som forventer svar på en pågående samtale kan bli lurt på denne måten. Ved å etterligne eksisterende e-postsamtaler, inkludert ekte e-postinnhold og Emneoverskrifter, blir meldingene dessuten mye mer randomiserte og utfordrende å filtrere etter antispam-systemer.

Det som er interessant er at Emotet ikke bruker e-posten den stjal innhold fra for å sende den til et potensielt offer. I stedet sender den løftet samtale til en annen bot i nettverket, som deretter sender e-posten fra et helt annet sted, ved hjelp av en helt egen utgående SMTP-server.

I følge sikkerhetsforskere brukte Emotet stjålne e-postsamtaler i rundt 8,5 prosent av angrepsmeldinger før sommeren. Siden feriesesongen har avsluttet, har imidlertid denne taktikken blitt mer fremtredende, og utgjør nesten en fjerdedel av all Emotets utgående e-posttrafikk.

Cybercrooks utnytter Emotet for å stjele personopplysninger

Verktøyene til disposisjon for nettkroker som ønsker å stjele personlig informasjon fra datamaskiner er tilnærmet uendelige. Det hender bare at Emotet er en type malware-trussel som er svært effektiv til å utnytte på en måte å starte massesøppel-e-postkampanjer som sprer skadelig programvare designet for å stjele data fra en intetanende databruker. Måten Emotet fungerer på er å åpne for en bakdør for andre høyrisikotekniske trusler, for eksempel Dridex trojanhesten, som er spesielt designet for å stjele data fra en datamaskinbruker ved hjelp av aggressive phishing-teknikker.

Når den brukes av riktig type hacker eller cybercrook, kan Emotet brukes på en måte å infiltrere en datamaskin for å laste og installere flere malware trusler. Likevel kan de ekstra installerte truslene være farligere der de kan koble seg til kommando- og kontrollservere (C&C) for å laste ned instruksjoner for å utføre på det infiserte systemet.

Effektene av Emotet skal aldri tas lett

I alle tilfeller av en malware trussel så vidtrekkende som Emotet, bør databrukere ta nødvendige forholdsregler for å forhindre et angrep fra slikt. På baksiden vil de som er blitt angrepet av Emotet, finne den nødvendige ressursen for å trygt oppdage og eliminere trusselen. Hvis man lar Emotet kjøre på en datamaskin i lengre tid, øker risikoen for å få data eksponert eksponentielt.

Datamaskiner som kan forsinke å eliminere Emotet eller ta de nødvendige forholdsregler, vil sette personopplysningene deres som er lagret på PC-en deres i fare, noe som kan føre til alvorlige problemer som identitetstyveri. Dessuten er Emotet en vanskelig trussel å oppdage, som er en prosess som først og fremst gjøres av en oppdatert antimalware-ressurs eller -applikasjon.

Til enhver tid bør datamaskinbrukere være forsiktige når de åpner e-post med vedlegg, nærmere bestemt de som inneholder vedlegg i form av Microsoft Word-dokumenter, som er kjent for å være en metode som Emotet bruker for å spre skadelig programvare.

Emotets retur

På et tidspunkt i 2019 var Emotets kommando- og kontrollservere lukkete og etterlot systemer som var infisert av trusselen fri fra å være under kontroll av gjerningsmennene bak Emotet. Imidlertid, ikke så snart etter avslutningen av C & C-serverne, kom Emotet tilbake fra de døde der hackere ikke bare fikk kontroll over Emotet, men de bruker legitime nettsteder for å spre trusselen via spam-kampanjer ved først å hacking nettstedene.

Emotets utviklere har angivelig målrettet mot 66 000 e-postadresser for over 30 000 domenenavn, mange av disse domenene som tilhører legitime nettsteder som ble hacket. Noen av de legitime nettstedene som er angrepet av skaperne av Emotet, er følgende:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

I utgangspunktet vil vi se en økning i infeksjoner med skadelig programvare så sikker som tiden går. Som forskere fra Cisco Talos bemerket: "Når en trusselgruppe går stille, er det lite sannsynlig at de vil være borte for alltid," utdyper: "Snarere åpner dette muligheten for en trusselgruppe å komme tilbake med nye IOC-er, taktikker, teknikker og prosedyrer eller nye malware-varianter som kan unngå eksisterende oppdagelse. "

SpyHunter oppdager og fjerner Emotet

Emotet skjermbilder

emotet infection rates
emotet trojan horse infection process

Detaljer om filsystem

Emotet kan opprette følgende fil(er):
# Filnavn MD5 Deteksjoner
1. licensefwdr.exe 3391006372b212ba0be34bf9cc47bb15 62
2. 8e8cmlbo6fx_lxfm3xki.exe 0d87835af614586f70e39e2dfdba1953 41
3. guidsdefine.exe 8af726850d90d8897096429c8f677fb9 34
4. ni6tj3f0c.exe 865eba9b4ee8e93f500232eae85899f9 14
5. fcuthenucs_qzfm9unm.exe fc620fb26d06a3f15e97fa438e47b4e3 13
6. sw1bo.exe 6957fc973e45d6362c9508297840332c 13
7. hh_u6zt3e3q_vmytcj.exe 0c12b6e792d5e395f1d0e8e00f2a906b 9
8. 8lqwejk6.exe 9ab8c51587e3a46950576c545d917e5f 8
9. guidsripple.exe 954d6e95ef173331841a54b2bacbcd28 8
10. z7w2_qj.exe 59dec5b309f882bd3b7b7f4db9de8810 7
11. file.exe 110c1f03f6cea56bbc5aea62e9705d24 7
12. ripplepolic.exe d3fe0e7a94cf8a04435ecd85d1a85227 7
13. BA1E.tmp b25ec6e225cf6247dcb3810470ae86b7 6
14. 211.exe 831bbafd3a5596994e3e5407e86a6ab0 6
15. s9nevcf77pvpbcahes.exe 9f6d496199d712df75fea0d4f65a774d 6
16. სკუმბრია.exe 35c973fee6e0f6fd1c9486d25d041c83 5
17. ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18. fu_nid7mlnsu.exe fecc9b87f6adde022e2e7540469d9668 4
19. td5g1cst.exe d42dbba27dc711e5b4a3f4bf83967049 4
20. cvedvfdyaj.exe e60048bfaab06dcab844454c33ad5491 4
21. aizz7dugmz_ddw.exe 149f8faf3bb1c3cbd1207c133715a480 2
22. h7kg8jsthbc.exe c6c70da245a63f7ae7052ebac3fb76c6 2
23. troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 536d98819ef25d5452ef802d4541bb46 1
24. bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 83e70065bf06162895e73ce43f4fdb19 1
25. eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 1f4a1df52756bd6ea855b47f039836ee 1
26. 1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 991bd07e70c478affb777a3728942591 1
27. aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload a4d00e6314149af840bbbf7a70bf1170 1
28. a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 6f68c6733db5e38ba4cd82d12e683696 1
29. C:\Windows\11987416.exe
30. C:\Windows\System32\46615275.exe
31. C:\Windows\System32\shedaudio.exe
32. C:\Windows\SysWOW64\f9jwqSbS.exe
33. C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe
34. C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe
Flere filer

Registreringsdetaljer

Emotet kan opprette følgende registeroppføring eller registeroppføringer:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Trender

Mest sett

Laster inn...