Den Emotet Trojan, en torn i øjet på de finansielle institutioner og din gennemsnitlige individuelle ens, er tilbage med nye teknikker og en stigning i angreb.
Ifølge forskere fra Menlo Sikkerhed, siden midten af januar 2019, Emotet har været anvendt i en hurtig strøm af kampagner, som har udviklet sig til at inficere endnu flere systemer.
Emotet blev første gang opdaget tilbage i 2014 og er nu betragtes som en af de mest destruktive og snigende finansielle Trojanske heste, der findes.
Når kendt blot som en individuel, selvstændig-og-analyser af formerings Trojan med lidt at anbefale sig selv, truslen aktører bag malware, døbt Mealybug, har skabt en malware-as-a-service-forretning, der er baseret på den Trojanske i de seneste år — drejning af malware til en trussel distribution platform til rådighed for andre cyberattackers.
Den modulære Emotet software nu normalt fungerer som et distribution og pakning system for andre ondsindede nyttelast, men er også i stand til at brute-force edb-systemer, generere Business e-Mail-Kompromis (BEC) beskeder i kompromitterede konti for anvendelsen af spam-kampagner, skabe bagdøre, og stjæle finansielle data.
I de seneste år, Emotet er blevet observeret i naturen implementering af IcedID bank Trojan, Trickybot, Løsepenge.UmbreCrypt, og Panda Banker.
Et 2018 US-CERT security advisory døbt Emotet at være “blandt de mest dyre og ødelæggende malware, der påvirker staten, lokale, tribal, og territorial (SLTT) regeringer, den private og den offentlige sektor.”
Trend Micro forskere advarede i November, at Emotet nu benytter dual-infrastruktur og en række kommando-og-kontrol (C2) – servere, for bedre at kunne beskytte sig selv mod fjernelse forsøg.
I de seneste kampagner, Menlo Sikkerhed siger, at ondsindede dokumenter, der indeholder Emotet bliver distribueret via url ‘ er, der er hostet på truslen skuespiller-ejede infrastruktur samt traditionelle spam e-mail vedhæftede filer.
Som vist nedenfor, Emotet er blevet sporet i de seneste måneder i forbindelse med angreb mod sundhedspleje, finans og forsikring industri, blandt andre.
Se også: En ud af tre virksomheder, der ikke kan beskytte sig mod brud på datasikkerheden
Mens 20 procent af den skadelige dokumenter stikprøven var Word-dokumenter, der indeholder integrerede makroer, som er typisk for Emotet, de øvrige 80 procent dukkede op for at være Word-dokumenter med .doc udvidelse — men var faktisk XML-filer.
Forskerne siger, at dette twist har optrådt i et forsøg på at undgå både registrerings-og sandkasse opsætninger, som ofte anvendes af sikkerhed teams til at foretage reverse engineering malware-kode.
“Denne teknik er sandsynligvis brugt til at unddrage sig sandboxes, da sandboxes, der typisk bruge true type fil, og ikke den udvidelse til at identificere det program, de har brug for at køre i inde i sandkassen,” Menlo Sikkerhed siges. “Mens den sande fil type er XML, det er stadig åbnet i Microsoft Word ved endpoint, og dermed spørge brugeren til at aktivere den skadelige integreret makro.”
TechRepublic: Hvordan til at beskytte og sikre din web browsing med den Modige browser
I alt 10 procent af den samlede stikprøve, kunne heller ikke blive identificeret som skadelig af standard-antivirus-software.
Forskerne sagde, at i nogle af de dokumenter, visning af indholdet af makroer er deaktiveret og VBA-Projekter-oprettet i Excel-var låst, som teamet mener, var muligvis et forsøg på at “modvirke analysen af makro-indhold.”
“I de sidste, vi har set Emotet bliver leveret gennem regelmæssige makro-befængt, Word-dokumenter, men denne teknik for at skjule et XML-dokument som et Word-dokument ser ud til at være en nylig ændring i levering teknik,” Menlo siger. “Med en sådan konstant ændringer i taktik fra Emotet trussel aktører, vi regner med, at denne kampagne vil fortsætte med at udvikle sig og blive mere avanceret.”
CNET: Regeringens vagthund finder en svag håndhævelse af OS privatliv regler
Selskabet tilføjede, at Emotet gjort sin top liste med banking Trojanske heste sidste år, og det forventes, at malware vil bevare sin position i hele 2019.
Onsdag, Cybereason er Nocturnus Forskning team drøftet nye udviklinger i Asjtarot Trojan, som den malware, der er blevet givet evnen til at misbruge processer i legitime antivirus-software til at stjæle personlige og følsomme data.
Tidligere og relaterede dækning
Adobe ‘ s massive patch opdatering løser kritiske Acrobat, Reader fejl
Xiaomi el-scootere sårbare over for ekstern kapring
Denne Trojan udnytter antivirus software til at stjæle dine data
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre