Emotet

Emotet Beskrivning

Type: Trojan

emotionell trojanhäst Emotet började som en bank-trojan för fem år sedan men har förvandlats till så mycket mer. Numera har det blivit en av de farligaste botnät och malware droppar att hyra i världen. För att fullt ut tjäna pengar på attackerna, släpper Emotet ofta nya banktrojaner, e-skördare, självförökningsmekanismer, informationsstealers och till och med ransomware.

Säkerhetsforskare konstaterade att hotaktörerna bakom Emotet tog en sommarlov, som började i juni 2019, där till och med kommandot och kontrollen (C2) -aktiviteter stannade. När sommarmånaderna började komma till slut började dock säkerhetsforskare se en ökning av aktiviteten i Emotets C2-infrastruktur. Från och med den 16 september 2019 är Emotet redan i full utrustning med en återupplivad skräppostkampanj som förlitar sig på social teknik.

Emotet riktar sig till datoranvändare genom lockande e-postkampanjer

Ett av de mest geniala och hotfulla sätten genom vilka Emotet-smittade offer var genom stulet e-postinnehåll. Det skadliga programmet skulle svepa ett offrets inkorg och kopiera befintliga konversationer, som det sedan kommer att använda i sina egna e-postmeddelanden. Emotet kommer att citera kropparna av riktiga meddelanden i ett "svar" på ett ofrets olästa e-post, i ett försök att lura dem att öppna en bilaga som är knuten till skadlig programvara, vanligtvis i form av ett Microsoft Word-dokument.

Det krävs inte mycket fantasi för att se hur någon förväntar sig ett svar på en pågående konversation kan luras på detta sätt. Genom att efterlikna befintliga e-postkonversationer, inklusive äkta e-postinnehåll och ämnesrubriker, blir meddelandena mycket mer slumpmässiga och utmanande att filtrera med anti-spam-system.

Det intressanta är att Emotet inte använder e-postmeddelandet från vilket det stal innehåll för att skicka det till ett potentiellt offer. Istället skickar det den upphöjda konversationen till en annan bot i nätverket, som sedan skickar e-postmeddelandet från en helt annan plats med en helt separat utgående SMTP-server.

Enligt säkerhetsforskare använde Emotet stulna e-postkonversationer i ungefär 8,5 procent av attackmeddelanden före sin sommarsjukdom. Sedan semestersäsongen har avslutats har denna taktik emellertid blivit mer framträdande och står för nästan en fjärdedel av all Emotets utgående e-posttrafik.

Cybercrooks utnyttjar Emotet för att stjäla personuppgifter

De verktyg som står till förfogande för cybercrooks som vill stjäla personlig information från datorer är praktiskt taget oändliga. Det händer bara så att Emotet är en typ av skadligt hot som är mycket effektiv att utnyttja på ett sätt att starta massa e-postkampanjer som sprider skadlig programvara utformad för att stjäla data från en intet ontande datoranvändare. Emotet fungerar på ett sätt att öppna ett bakdörr för andra datorhot med hög risk, till exempel Dridex trojanhäst, som är specifikt utformad för att stjäla data från en datoranvändare med aggressiva phishing-tekniker.

När den används av rätt typ av hacker eller cybercrook, kan Emotet användas på ett sätt att infiltrera en dator för att ladda och installera flera skadliga hot mot skadlig kod. Trots det kan de extra installerade hoten vara farligare när de kan ansluta till kommandon och kontrollserver (C&C) för att ladda ner instruktioner för att utföra det infekterade systemet.

Effekterna av Emotet ska aldrig tas lätt

I vilket fall som helst av ett skadligt skadligt hot som Emotet bör datoranvändare vidta nödvändiga försiktighetsåtgärder för att förhindra en attack från sådana. På baksidan kommer de som har attackerats av Emotet att hitta den nödvändiga resursen för att säkert upptäcka och eliminera hotet. Om man tillåter Emotet att köra på en dator under en lång tid ökar risken för att data expanderas exponentiellt.

Datoranvändare som kan försena att eliminera Emotet eller vidta lämpliga försiktighetsåtgärder kommer att riskera att deras personliga data lagras på sin dator, vilket kan leda till allvarliga problem som identitetsstöld. Emotet är dessutom ett svårt hot att upptäcka, vilket är en process som främst utförs av en uppdaterad antimalware-resurs eller applikation.

Datoranvändare bör alltid vara försiktiga när de öppnar e-postmeddelanden med bilagor, särskilt sådana som innehåller bilagor i form av Microsoft Word-dokument, vilket är känt för att vara en metod som Emotet använder för att sprida skadlig programvara.

Emotets återkomst

Vid ett tillfälle under 2019 var Emotets kommando- och kontrollserver slutade och lämnade system infekterade av hotet utan att vara under kontroll av förövarna bakom Emotet. Emotet kom dock inte alltför snart efter avstängningen av C & C-servrarna från de döda där hackare inte bara fick kontroll över Emotet, utan de använder legitima webbplatser för att sprida hotet via spam-kampanjer genom att först hacking webbplatserna.

Emotets utvecklare har enligt uppgift riktat sig till cirka 66 000 e-postadresser för över 30 000 domännamn, många av dessa domäner tillhör legitima webbplatser som hackades. Några av de legitima webbplatserna som attackerades av skaparna av Emotet är följande:

  • biyunhui [.] com
  • broadpeakdefense [.] com
  • charosjewellery [.] co.uk
  • customernoble [.] com
  • holyurbanhotel [.] com
  • keikomimura [.] com
  • lecairtravels [.] com
  • mutlukadinlarakademisi [.] com
  • nautcoins [.] com
  • taxolabs [.] com
  • think1 [.] com

I grund och botten kommer vi att se en ökning av infektioner med skadlig kod så säker som tiden går. Som forskare från Cisco Talos konstaterade: "När en hotgrupp tystar är det osannolikt att de kommer att vara borta för alltid," utarbetar: "Snarare öppnar detta möjligheten för en hotgrupp att återvända med nya IOC: er, taktik, tekniker och procedurer eller nya skadliga varianter som kan undvika befintlig upptäckt. "

Technical Information

Screenshots & Other Imagery

Emotet Screenshots

emotet infection rates emotet trojan horse infection process

Filsysteminformation

Emotet skapar följande fil (er):
# Filnamn MD5 Detektionsantal
1 licensefwdr.exe 3391006372b212ba0be34bf9cc47bb15 62
2 8e8cmlbo6fx_lxfm3xki.exe 0d87835af614586f70e39e2dfdba1953 41
3 guidsdefine.exe 8af726850d90d8897096429c8f677fb9 34
4 xppvz6oh.exe e7a1127484bbd79f4de0460ee92836fb 14
5 ni6tj3f0c.exe 865eba9b4ee8e93f500232eae85899f9 14
6 fcuthenucs_qzfm9unm.exe fc620fb26d06a3f15e97fa438e47b4e3 13
7 sw1bo.exe 6957fc973e45d6362c9508297840332c 13
8 hh_u6zt3e3q_vmytcj.exe 0c12b6e792d5e395f1d0e8e00f2a906b 9
9 8lqwejk6.exe 9ab8c51587e3a46950576c545d917e5f 8
10 guidsripple.exe 954d6e95ef173331841a54b2bacbcd28 8
11 z7w2_qj.exe 59dec5b309f882bd3b7b7f4db9de8810 7
12 ripplepolic.exe d3fe0e7a94cf8a04435ecd85d1a85227 7
13 BA1E.tmp b25ec6e225cf6247dcb3810470ae86b7 6
14 211.exe 831bbafd3a5596994e3e5407e86a6ab0 6
15 s9nevcf77pvpbcahes.exe 9f6d496199d712df75fea0d4f65a774d 6
16 სკუმბრია.exe 35c973fee6e0f6fd1c9486d25d041c83 5
17 ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe 9d7b1ffdd0d6e8e43032b16dabcb52b4 5
18 fu_nid7mlnsu.exe fecc9b87f6adde022e2e7540469d9668 4
19 td5g1cst.exe d42dbba27dc711e5b4a3f4bf83967049 4
20 cvedvfdyaj.exe e60048bfaab06dcab844454c33ad5491 4
21 aizz7dugmz_ddw.exe 149f8faf3bb1c3cbd1207c133715a480 2
22 h7kg8jsthbc.exe c6c70da245a63f7ae7052ebac3fb76c6 2
23 troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe 536d98819ef25d5452ef802d4541bb46 1
24 bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload 83e70065bf06162895e73ce43f4fdb19 1
25 eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload 1f4a1df52756bd6ea855b47f039836ee 1
26 1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload 991bd07e70c478affb777a3728942591 1
27 aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload a4d00e6314149af840bbbf7a70bf1170 1
28 a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload 6f68c6733db5e38ba4cd82d12e683696 1
29 C:\Windows\11987416.exe Ej tillämpligt
30 C:\Windows\System32\46615275.exe Ej tillämpligt
31 C:\Windows\System32\shedaudio.exe Ej tillämpligt
32 C:\Windows\SysWOW64\f9jwqSbS.exe Ej tillämpligt
33 C:\Users\\AppData \Local\Microsoft\Windows\shedaudio.exe Ej tillämpligt
34 C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia\bin\flashplayer.exe Ej tillämpligt
Fler filer

Registry Details

Emotet skapar följande registerposter eller registerposter:
Regexp file mask
%APPDATA%\microsoft\vhmjoh\vhmjo.exe
%APPDATA%\SetingSync64.exe
%WINDIR%\System32\sysnet.exe
%WINDIR%\SysWOW64\HawaiiAppointment.exe
%WINDIR%\SysWOW64\nvapp.exe
%WINDIR%\SysWOW64\policsource.exe
%WINDIR%\SysWOW64\slsbthpan.exe

Site Disclaimer

Enigmasoftware.com är inte associerat, anslutet, sponsrat eller ägt av de skadliga skaparna eller distributörerna som nämns i den här artikeln. Denna artikel ska INTE misstas eller förväxlas genom att den på något sätt associeras med marknadsföring eller godkännande av skadlig kod. Vår avsikt är att tillhandahålla information som kommer att utbilda datoranvändare om hur man upptäcker och i slutändan tar bort skadlig kod från sin dator med hjälp av SpyHunter och/eller manuella borttagningsinstruktioner som tillhandahålls i den här artikeln.

Denna artikel tillhandahålls "som den är" och ska endast användas för informationsändamål. Genom att följa instruktionerna i denna artikel godkänner du att du är bunden av ansvarsfriskrivningen. Vi garanterar inte att den här artikeln hjälper dig att helt ta bort skadliga hot på din dator. Spionprogram ändras regelbundet; därför är det svårt att helt rengöra en infekterad maskin med manuella medel.