Den Emotet Trojan, en nagel i ögat på finansiella institutioner och din genomsnittliga individuella lika, är tillbaka med nya tekniker och en våg av attacker.
Enligt forskare från Menlo Säkerhet, sedan mitten av januari 2019, Emotet har använts i en snabb ström av kampanjer som har utvecklats för att infektera ännu fler system.
Emotet upptäcktes först tillbaka 2014 och är nu anses vara en av de mest destruktiva och försåtliga finansiella Trojaner i tillvaron.
En gång känd helt enkelt som en individ, själv sprida Trojan med lite att rekommendera sig själv, hot aktörer bakom skadlig kod, dubbade Minerarflugan, har skapat en malware-as-a-service-företag baserat på den Trojanska under de senaste åren — vrida malware hot distribution plattform tillgänglig för andra cyberattackers.
Den modulära Emotet programvara nu oftast fungerar som en distribution och förpackning system för andra skadliga nyttolast, men har också möjlighet att brute-force-computer system, skapa Affärer med E-post Kompromiss (BEC) meddelanden i äventyras svarar för tillämpningen av spam-kampanjer, skapa bakdörrar, och stjäla finansiella data.
Under de senaste åren, Emotet har observerats i naturen distribuera IcedID bank Trojan, Trickybot, Lösen.UmbreCrypt, och Panda Banken.
En 2018 US-CERT-säkerhetsmeddelande dubbade Emotet att vara bland de mest kostsamma och destruktiva skadliga program som påverkar staten, lokala, tribal, och territoriell (SLTT) regeringar, den privata och den offentliga sektorn.”
Trend Micro forskare varnade i November att Emotet nu använder dubbla infrastrukturer och olika kommando-och-kontroll (C2) – servrar för att bättre skydda sig mot takedown försök.
I de senaste kampanjer, Menlo Säkerhet säger att skadliga handlingar som innehåller Emotet distribueras via Webbadresser värd på hot aktör som ägs infrastrukturen såväl som traditionella spam e-postbilagor.
Som visas nedan, Emotet har spårats under de senaste månaderna i attacker mot hälso-och sjukvård, finans-och försäkrings-branschen, bland andra.
Se även: En av tre företag som inte kan skydda sig från dataintrång
Medan 20 procent av de skadliga handlingar provtas var Word-dokument som innehåller inbäddade makron som är typiska för Emotet, de övriga 80 procenten verkade vara Word-dokument med en .doc förlängning-men var faktiskt XML-filer.
Forskarna säger att detta twist har medverkat i ett försök att undvika att både upptäcka och sandbox-uppställningar och används ofta av säkerhet team att reverse-engineer skadlig kod.
“Den här tekniken är förmodligen används för att undvika sandlådor, eftersom sandlådor typiskt sanna fil typ och inte en förlängning för att identifiera ansökan, de behöver för att köra inne i sandlådan,” Menlo Security sa. “Medan den verkliga filen är av typen XML, det är fortfarande öppnas i Microsoft Word vid slutpunkten, vilket uppmanar användaren att aktivera den skadliga inbäddat makro.”
TechRepublic: Hur för att skydda och säkra din webbläsare med de Modiga webbläsare
Totalt ska 10 procent av den totala urvalet kan inte heller identifieras som skadlig av standard antivirusprogram.
Forskarna sade att i vissa av de handlingar som visar innehållet av makron har inaktiverats och VBA-Projekt — skapats i Excel — var låst, som forskarna anser potentiellt var ett försök att “motarbeta den analys som makro innehåll.”
“I det förflutna har vi sett Emotet levereras genom regelbundna makro-angripna Word-dokument, men denna teknik för att dölja ett XML-dokument som Word-dokument verkar vara en ny förändring i leverans teknik,” Menlo säger. “Med dessa ständiga förändringar i taktik från Emotet hot aktörer, vi räknar med att den här kampanjen kommer att fortsätta att utvecklas och bli mer sofistikerade.”
CNET: Regeringen vakthund finner svag verkställighet av OSS sekretess lagar
Företaget lade till att Emotet gjort sin topp lista över banktrojaner förra året, och det förväntas att skadlig kod kommer att behålla sin position i hela 2019.
På onsdag, Cybereason är Nocturnus forskargrupp diskuteras utvecklingen i Astaroth Trojan, som malware har fått möjlighet att missbruka processer i legitima antivirusprogram för att stjäla personliga och känsliga uppgifter.
Tidigare och relaterade täckning
Adobe massiva patch uppdateringen korrigeras kritiska Acrobat Reader buggar
Xiaomi elektriska skotrar sårbara för avlägsen kapning
Denna Trojan som utnyttjar ett antivirusprogram för att stjäla dina uppgifter
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter