Emotet

Emotet Beskrivelse

emosjonell trojansk hest Emotet startet som en bank-trojan for noen fem år siden, men har blitt så mye mer. I dag har det blitt en av de farligste botnettene og malware-dropper-for-hire i verden. For å tjene penger på angrepene, dropper Emotet ofte nye banktrojanere, e-posthøstere, selvutbredelsesmekanismer, informasjonsstealere og til og med ransomware.

Sikkerhetsforskere bemerket at trusselaktørene bak Emotet tok en sommerferie, med start i juni 2019, der til og med kommando- og kontrollaktivitetene (C2) ble stoppet. Da sommermånedene begynte å komme til sin konklusjon, begynte imidlertid sikkerhetsforskere å se en økning i aktiviteten til Emotets C2-infrastruktur. Fra og med 16. september 2019 er Emotet allerede i full redskap med en fornyet spamkampanje, og er avhengig av sosial ingeniørarbeid.

Emotet er rettet mot databrukere gjennom lokkende e-postkampanjer

En av de mest geniale og truende måtene Emotet-smittede ofre var gjennom stjålet e-postinnhold. Den skadelige programvaren vil sveipe et offerets innboks og kopiere eksisterende samtaler, som den deretter vil bruke i sine egne e-poster. Emotet vil sitere likene til virkelige meldinger i et "svar" på et offerets uleste e-post, i et forsøk på å lure dem til å åpne et vedlegg med snakk om skadelig programvare, vanligvis i form av et Microsoft Word-dokument.

Det krever ikke mye fantasi å se hvordan noen som forventer svar på en pågående samtale kan bli lurt på denne måten. Ved å etterligne eksisterende e-postsamtaler, inkludert ekte e-postinnhold og Emneoverskrifter, blir meldingene dessuten mye mer randomiserte og utfordrende å filtrere etter antispam-systemer.

Det som er interessant er at Emotet ikke bruker e-posten den stjal innhold fra for å sende den til et potensielt offer. I stedet sender den løftet samtale til en annen bot i nettverket, som deretter sender e-posten fra et helt annet sted, ved hjelp av en helt egen utgående SMTP-server.

I følge sikkerhetsforskere brukte Emotet stjålne e-postsamtaler i rundt 8,5 prosent av angrepsmeldinger før sommeren. Siden feriesesongen har avsluttet, har imidlertid denne taktikken blitt mer fremtredende, og utgjør nesten en fjerdedel av all Emotets utgående e-posttrafikk.

Cybercrooks utnytter Emotet for å stjele personopplysninger

Verktøyene til disposisjon for nettkroker som ønsker å stjele personlig informasjon fra datamaskiner er tilnærmet uendelige. Det hender bare at Emotet er en type malware-trussel som er svært effektiv til å utnytte på en måte å starte massesøppel-e-postkampanjer som sprer skadelig programvare designet for å stjele data fra en intetanende databruker. Måten Emotet fungerer på er å åpne for en bakdør for andre høyrisikotekniske trusler, for eksempel Dridex trojanhesten, som er spesielt designet for å stjele data fra en datamaskinbruker ved hjelp av aggressive phishing-teknikker.

Når den brukes av riktig type hacker eller cybercrook, kan Emotet brukes på en måte å infiltrere en datamaskin for å laste og installere flere malware trusler. Likevel kan de ekstra installerte truslene være farligere der de kan koble seg til kommando- og kontrollservere (C&C) for å laste ned instruksjoner for å utføre på det infiserte systemet.

Effektene av Emotet skal aldri tas lett

I alle tilfeller av en malware trussel så vidtrekkende som Emotet, bør databrukere ta nødvendige forholdsregler for å forhindre et angrep fra slikt. På baksiden vil de som er blitt angrepet av Emotet, finne den nødvendige ressursen for å trygt oppdage og eliminere trusselen. Hvis man lar Emotet kjøre på en datamaskin i lengre tid, øker risikoen for å få data eksponert eksponentielt.

Datamaskiner som kan forsinke å eliminere Emotet eller ta de nødvendige forholdsregler, vil sette personopplysningene deres som er lagret på PC-en deres i fare, noe som kan føre til alvorlige problemer som identitetstyveri. Dessuten er Emotet en vanskelig trussel å oppdage, som er en prosess som først og fremst gjøres av en oppdatert antimalware-ressurs eller -applikasjon.

Til enhver tid bør datamaskinbrukere være forsiktige når de åpner e-post med vedlegg, nærmere bestemt de som inneholder vedlegg i form av Microsoft Word-dokumenter, som er kjent for å være en metode som Emotet bruker for å spre skadelig programvare.

Emotets retur

På et tidspunkt i 2019 var Emotets kommando- og kontrollservere lukkete og etterlot systemer som var infisert av trusselen fri fra å være under kontroll av gjerningsmennene bak Emotet. Imidlertid, ikke så snart etter avslutningen av C & C-serverne, kom Emotet tilbake fra de døde der hackere ikke bare fikk kontroll over Emotet, men de bruker legitime nettsteder for å spre trusselen via spam-kampanjer ved først å hacking nettstedene.

Emotets utviklere har angivelig målrettet mot 66 000 e-postadresser for over 30 000 domenenavn, mange av disse domenene som tilhører legitime nettsteder som ble hacket. Noen av de legitime nettstedene som er angrepet av skaperne av Emotet, er følgende:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

I utgangspunktet vil vi se en økning i infeksjoner med skadelig programvare så sikker som tiden går. Som forskere fra Cisco Talos bemerket: "Når en trusselgruppe går stille, er det lite sannsynlig at de vil være borte for alltid," utdyper: "Snarere åpner dette muligheten for en trusselgruppe å komme tilbake med nye IOC-er, taktikker, teknikker og prosedyrer eller nye malware-varianter som kan unngå eksisterende oppdagelse. "

Teknisk informasjon

Skjermbilder og annet bilde

Emotet Image 1 Emotet Image 2

Detaljer om filsystem

Emotet oppretter følgende fil (er):
# Filnavn Størrelse MD5 Oppdagelsesantall
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
14 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
15 c:\users\vtc\downloads\9tadwtpw5estit.exe 159,744 b25ec6e225cf6247dcb3810470ae86b7 5
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N / A
30 C:\Windows\System32\46615275.exe N / A
31 C:\Windows\System32\shedaudio.exe N / A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N / A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N / A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N / A
Flere filer

Registreringsdetaljer

Emotet oppretter følgende registeroppføringer eller registeroppføringer:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Ansvarsfraskrivelse for nettstedet

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

Legg igjen et svar

Vennligst IKKE bruk dette kommentarsystemet for support eller faktureringsspørsmål. For SpyHunter tekniske supportforespørsler, vennligst kontakt vårt tekniske supportteam direkte ved å åpne en kundesupportbillett via SpyHunter. For faktureringsproblemer, se siden " Faktureringsspørsmål eller problemer? " -Siden. For generelle henvendelser (klager, juridiske, presse, markedsføring, copyright), besøk vår " Forespørsler og tilbakemeldinger " -side.