Noll
(Bild: en Fil foto via Wikimedia Commons)
Säkerhetsföretaget McAfee har blockerat åtkomst till skadliga program som visade sig vara skickat från företagets egna nätverk.
Det skadliga programmet var värd på en webbplats från tredje part men som har delats via en domän i samband med McAfee ClickProtect, en e-protection service att bolaget svartabörshajar som kan skydda ditt företag från att hacka.” Tjänsten är tänkt att skydda sig mot phishing attacker malware från länkar i e-postmeddelanden, och hindra användare från att besöka webbplatser som är kända för att vara mycket hög risk.
Men skadlig länk var bara finns när en Paris-baserad säkerhet forskare, som använder den pseudonyma hantera Benkow, hittade och twittrade en malware analys rapport som ingår länken.
Länken omdirigerad användare genom “cp.mcafee.com” domän och att den skadliga Word-dokument.
Alla som laddat ner och öppnat den skadliga Word-dokument har varit utsatta för Emotet bank-malware.
“Emotet har fått stor spridning via malspam kampanjer som innehåller länkar till hackade webbplatser som värd ett lockbete Word-dokument”, säger Jerome Segura, leda malware intelligens analytiker på säkerhetsföretaget Malwarebytes, i ett e-postmeddelande.
“När jag öppnade det och tillåta att makron, användaren omedvetet triggar nedladdning av Emotet malware binära, också hämtat från en äventyras plats”, sade han.
(Bilder: ZDNet/CBS Interactive)
Malware använder en traditionell makroaktiverad Word-dokument, ofta levereras av en direkt länk eller i ett e-postmeddelande, som, när den öppnas och aktiveras, kommer att ladda ner ytterligare filer med hjälp av PowerShell-skript, inklusive Emotet malware binära. Efter det installerar, malware telefoner hem till sitt kommando och kontroll server där det skulle suga upp känsliga uppgifter, såsom webbläsare och e-post lösenord, som kan användas för att hacka sig in på konton och överföra pengar. Säkerhet forskare Marcus Hutchins sade nyligen i en write-up att det skadliga programmet ansluter till ledning och kontroll server med hårdkodade IP-adresser, men det använder proxyservrar för att undgå upptäckt.
För sin del, McAfee sa att det var för att utreda frågan, men det sade också att tjänsten utförs som avsett.”
“I de tidiga timmarna av Nov. 13, webben destinationen i fråga ännu inte hade identifierats som en källa för spridning av skadlig programvara,” sade en talesman.
“Senare på dagen, men McAfee Global Threat Intelligence service hade fastställt den webbegendom som ett hot, förändrat områdets rykte ranking från “låg risk” till “hög risk” och därefter blockerade McAfee kunder från att kunna nå webbplatsen,” talesman sade.
Talesmannen sade att den tid som McAfee ‘ s forskargrupp blev medveten om webbplatsens status i ett e-postmeddelande skickas med ZDNet, platsen hade redan varit avstängd en tid.”
Men det betyder inte i linje med vår version av händelserna. Strax fram till McAfee sa att platsen var blockerad, länken var fortfarande aktiv och pekar på den skadliga Word-dokument. Det är inte heller klart om varför tjänsten skulle flagga webbplatsen så hög risk, men det skulle fortfarande innebära skadlig programvara att ladda ner.
McAfee var “arbetar fortfarande för att fastställa den exakta tidslinje” av händelser, en talesman sade.
Det är inte känt exakt hur sambandet kom att — såsom om länken har skapats av hackare för att lura intet ont anande offer till nedladdning av skadlig kod, eller om det var av misstag.
En McAfee-talesman sa att det var inte som ett resultat av “avsiktligt missbruk” av systemet.
Men hackare har ramped upp sin användning av Emotet skadlig kod under de senaste månaderna, och de är alltmer hänvisad till att skicka noggrant utformad för e-post och använda sig av social engineering. Hackare bakom malware ofta maskera sig som telefon -, cell-och internet-leverantörer, och att de skulle fokusera på mål, främst i USA, STORBRITANNIEN och Kanada, enligt en ny Trend Micro rapport.
Men varför malware har återuppstått förblir ett mysterium. Microsoft har nyligen överklagat till företagskunder att bidra till att undanröja de skadliga program, som är alltmer i hackare ” hårkors.
Segura varnat för att även användare med e-skydd system, som företag, kan fortfarande bli lurade.
“Användare bör akta oss för förkortad eller konverteras länkar och kanske ännu mer när det kanske finns antaganden om att de är säkra”, sade han.
“Det samma gäller för de signaturer som läggs på botten av ett e-postmeddelande, och säga” detta e-postmeddelande är garanterat fri från virus “eller liknande”, tillade han. “Inte bara det att ge användarna en falsk känsla av säkerhet, men brottslingar ofta också lägga till sådana meddelanden för social ingenjörskonst ändamål.”
Kontakta mig ordentligt
Zack Whittaker kan nås säkert på Signal och WhatsApp på 646-755-8849, och hans PGP fingeravtryck för e-post är: 4D0E 92F2 E36A EC51 DAAE 5D97 CB8C 15FA EB6C EEA5.
Läs Mer
ZDNET UTREDNINGAR
Läckt TSA dokument avslöjar flygplatsen i New York våg av säkerhet upphör
AMERIKANSKA regeringen drivit tech företag att lämna över källkoden
Vid den AMERIKANSKA gränsen: Diskriminerade, fängslade, sökte, förhördes
Miljontals Verizon kundregister exponeras i säkerhet förfaller
Möta den mörka tech mäklare att leverera dina data till NSA
Inne i den globala terror bevakningslista som i hemlighet skuggor miljoner
FCC: s ordförande röstade för att sälja din webbhistorik — så vi bad att få se hans
Med en enda avlyssna ordning, AMERIKANSKA myndigheterna lyssnade på 3,3 miljoner telefonsamtal
198 miljoner Amerikaner drabbas av “största någonsin” väljare poster läcka
Storbritannien har gått den “mest extrema övervakning lag någonsin gått i en demokrati”
Microsoft säger “inga kända ransomware” som körs på Windows-10 S — så vi försökte hacka den
Läckt dokument avslöjar BRITTISKA planer för en bredare övervakning av internet
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0