Emotet

Emotet Description

emotionell trojanhäst Emotet började som en bank-trojan för fem år sedan men har förvandlats till så mycket mer. Numera har det blivit en av de farligaste botnät och malware droppar att hyra i världen. För att fullt ut tjäna pengar på attackerna, släpper Emotet ofta nya banktrojaner, e-skördare, självförökningsmekanismer, informationsstealers och till och med ransomware.

Säkerhetsforskare konstaterade att hotaktörerna bakom Emotet tog en sommarlov, som började i juni 2019, där till och med kommandot och kontrollen (C2) -aktiviteter stannade. När sommarmånaderna började komma till slut började dock säkerhetsforskare se en ökning av aktiviteten i Emotets C2-infrastruktur. Från och med den 16 september 2019 är Emotet redan i full utrustning med en återupplivad skräppostkampanj som förlitar sig på social teknik.

Emotet riktar sig till datoranvändare genom lockande e-postkampanjer

Ett av de mest geniala och hotfulla sätten genom vilka Emotet-smittade offer var genom stulet e-postinnehåll. Det skadliga programmet skulle svepa ett offrets inkorg och kopiera befintliga konversationer, som det sedan kommer att använda i sina egna e-postmeddelanden. Emotet kommer att citera kropparna av riktiga meddelanden i ett "svar" på ett ofrets olästa e-post, i ett försök att lura dem att öppna en bilaga som är knuten till skadlig programvara, vanligtvis i form av ett Microsoft Word-dokument.

Det krävs inte mycket fantasi för att se hur någon förväntar sig ett svar på en pågående konversation kan luras på detta sätt. Genom att efterlikna befintliga e-postkonversationer, inklusive äkta e-postinnehåll och ämnesrubriker, blir meddelandena mycket mer slumpmässiga och utmanande att filtrera med anti-spam-system.

Det intressanta är att Emotet inte använder e-postmeddelandet från vilket det stal innehåll för att skicka det till ett potentiellt offer. Istället skickar det den upphöjda konversationen till en annan bot i nätverket, som sedan skickar e-postmeddelandet från en helt annan plats med en helt separat utgående SMTP-server.

Enligt säkerhetsforskare använde Emotet stulna e-postkonversationer i ungefär 8,5 procent av attackmeddelanden före sin sommarsjukdom. Sedan semestersäsongen har avslutats har denna taktik emellertid blivit mer framträdande och står för nästan en fjärdedel av all Emotets utgående e-posttrafik.

Cybercrooks utnyttjar Emotet för att stjäla personuppgifter

De verktyg som står till förfogande för cybercrooks som vill stjäla personlig information från datorer är praktiskt taget oändliga. Det händer bara så att Emotet är en typ av skadligt hot som är mycket effektiv att utnyttja på ett sätt att starta massa e-postkampanjer som sprider skadlig programvara utformad för att stjäla data från en intet ontande datoranvändare. Emotet fungerar på ett sätt att öppna ett bakdörr för andra datorhot med hög risk, till exempel Dridex trojanhäst, som är specifikt utformad för att stjäla data från en datoranvändare med aggressiva phishing-tekniker.

När den används av rätt typ av hacker eller cybercrook, kan Emotet användas på ett sätt att infiltrera en dator för att ladda och installera flera skadliga hot mot skadlig kod. Trots det kan de extra installerade hoten vara farligare när de kan ansluta till kommandon och kontrollserver (C&C) för att ladda ner instruktioner för att utföra det infekterade systemet.

Effekterna av Emotet ska aldrig tas lätt

I vilket fall som helst av ett skadligt skadligt hot som Emotet bör datoranvändare vidta nödvändiga försiktighetsåtgärder för att förhindra en attack från sådana. På baksidan kommer de som har attackerats av Emotet att hitta den nödvändiga resursen för att säkert upptäcka och eliminera hotet. Om man tillåter Emotet att köra på en dator under en lång tid ökar risken för att data expanderas exponentiellt.

Datoranvändare som kan försena att eliminera Emotet eller vidta lämpliga försiktighetsåtgärder kommer att riskera att deras personliga data lagras på sin dator, vilket kan leda till allvarliga problem som identitetsstöld. Emotet är dessutom ett svårt hot att upptäcka, vilket är en process som främst utförs av en uppdaterad antimalware-resurs eller applikation.

Datoranvändare bör alltid vara försiktiga när de öppnar e-postmeddelanden med bilagor, särskilt sådana som innehåller bilagor i form av Microsoft Word-dokument, vilket är känt för att vara en metod som Emotet använder för att sprida skadlig programvara.

Emotets återkomst

Vid ett tillfälle under 2019 var Emotets kommando- och kontrollserver slutade och lämnade system infekterade av hotet utan att vara under kontroll av förövarna bakom Emotet. Emotet kom dock inte alltför snart efter avstängningen av C & C-servrarna från de döda där hackare inte bara fick kontroll över Emotet, utan de använder legitima webbplatser för att sprida hotet via spam-kampanjer genom att först hacking webbplatserna.

Emotets utvecklare har enligt uppgift riktat sig till cirka 66 000 e-postadresser för över 30 000 domännamn, många av dessa domäner tillhör legitima webbplatser som hackades. Några av de legitima webbplatserna som attackerades av skaparna av Emotet är följande:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

I grund och botten kommer vi att se en ökning av infektioner med skadlig kod så säker som tiden går. Som forskare från Cisco Talos konstaterade: "När en hotgrupp tystar är det osannolikt att de kommer att vara borta för alltid," utarbetar: "Snarare öppnar detta möjligheten för en hotgrupp att återvända med nya IOC: er, taktik, tekniker och procedurer eller nya skadliga varianter som kan undvika befintlig upptäckt. "

Technical Information

Screenshots & Other Imagery

Emotet Image 1 Emotet Image 2

File System Details

Emotet creates the following file(s):
# File Name Size MD5 Detection Count
1 %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe 131,072 3391006372b212ba0be34bf9cc47bb15 60
2 c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe 582,656 0d87835af614586f70e39e2dfdba1953 41
3 %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe 231,424 8af726850d90d8897096429c8f677fb9 34
4 c:\users\vtc\downloads\xppvz6oh.exe 156,672 e7a1127484bbd79f4de0460ee92836fb 14
5 c:\windows\syswow64\ni6tj3f0c.exe 143,360 865eba9b4ee8e93f500232eae85899f9 14
6 c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe 230,400 fc620fb26d06a3f15e97fa438e47b4e3 13
7 c:\windows\syswow64\sw1bo.exe 139,264 6957fc973e45d6362c9508297840332c 13
8 c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe 239,616 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 c:\users\vtc\downloads\8lqwejk6.exe 159,744 9ab8c51587e3a46950576c545d917e5f 8
10 c:\windows\syswow64\guidsripple.exe 143,360 954d6e95ef173331841a54b2bacbcd28 8
11 c:\users\vtc\downloads\z7w2_qj.exe 348,160 59dec5b309f882bd3b7b7f4db9de8810 7
12 c:\windows\syswow64\ripplepolic.exe 155,648 d3fe0e7a94cf8a04435ecd85d1a85227 7
13 C:\Windows\Temp\BA1E.tmp\BA1E.tmp 159,744 b25ec6e225cf6247dcb3810470ae86b7 6
14 c:\users\mark\211.exe 139,264 831bbafd3a5596994e3e5407e86a6ab0 6
15 c:\windows\syswow64\s9nevcf77pvpbcahes.exe 139,264 9f6d496199d712df75fea0d4f65a774d 6
16 C:\ProgramData\სკუმბრია.exe 782,336 35c973fee6e0f6fd1c9486d25d041c83 5
17 C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 548,864 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 c:\users\vtc\downloads\fu_nid7mlnsu.exe 151,552 fecc9b87f6adde022e2e7540469d9668 4
19 c:\users\vtc\downloads\td5g1cst.exe 223,232 d42dbba27dc711e5b4a3f4bf83967049 4
20 c:\users\vtc\downloads\cvedvfdyaj.exe 232,960 e60048bfaab06dcab844454c33ad5491 4
21 c:\users\vtc\downloads\aizz7dugmz_ddw.exe 241,152 149f8faf3bb1c3cbd1207c133715a480 2
22 c:\users\vtc\downloads\h7kg8jsthbc.exe 224,768 c6c70da245a63f7ae7052ebac3fb76c6 2
23 c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 403,456 536d98819ef25d5452ef802d4541bb46 1
24 c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 409,600 83e70065bf06162895e73ce43f4fdb19 1
25 c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 339,968 1f4a1df52756bd6ea855b47f039836ee 1
26 c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 339,968 991bd07e70c478affb777a3728942591 1
27 c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload 409,600 a4d00e6314149af840bbbf7a70bf1170 1
28 c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 409,600 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe N/A
30 C:\Windows\System32\46615275.exe N/A
31 C:\Windows\System32\shedaudio.exe N/A
32 C:\Windows\SysWOW64\f9jwqSbS.exe N/A
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe N/A
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe N/A
More files

Registry Details

Emotet creates the following registry entry or registry entries:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Site Disclaimer

Enigmasoftware.com is not associated, affiliated, sponsored or owned by the malware creators or distributors mentioned on this article. This article should NOT be mistaken or confused in being associated in any way with the promotion or endorsement of malware. Our intent is to provide information that will educate computer users on how to detect, and ultimately remove, malware from their computer with the help of SpyHunter and/or manual removal instructions provided on this article.

This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.

Leave a Reply

Please DO NOT use this comment system for support or billing questions. For SpyHunter technical support requests, please contact our technical support team directly by opening a customer support ticket via your SpyHunter. For billing issues, please refer to our "Billing Questions or Problems?" page. For general inquiries (complaints, legal, press, marketing, copyright), visit our "Inquiries and Feedback" page.


HTML is not allowed.