×
emotet.png
Le Emotet logiciels malveillants gang est maintenant, en utilisant une tactique qui a été vu précédemment utilisé par l’état-nation pirates.
Le groupe a été repéré cette semaine de faire revivre de vieux e-mail les fils de discussion et d’injecter des liens vers des fichiers malveillants.
Les utilisateurs impliqués dans le message précédent des échanges serait de recevoir un e-mail falsifié à apparaître à partir d’une de ses précédentes correspondants, mais en fait venir de Emotet serveurs.
L’e-mail fil de la conversation serait laissée intacte, mais la Emotet gang insérer une URL en haut de l’e-mail qui le lien à un Emotet-fichier infecté, ou joindre un malveillant document à la messagerie existants fil.
Tactique de vol Nord-coréennes pirates
La tactique n’est pas nouvelle. De retour en octobre 2017, Palo Alto Networks a rapporté qu’un Nord-coréen piratage groupe faisait de même, l’insertion de logiciels malveillants dans des vieux fils de discussion par courriel.
La différence est que la corée du Nord groupe a été le piratage dans l’email de accouns, un à un, à pirater e-mails et les threads.
Le Emotet gang a pris une approche différente. Ils mettent à profit les fils de discussion par courriel, ils ont commencé masse de la récolte de déjà infecté victms en octobre de l’année dernière.
Le groupe a commencé expérimenté avec le détournement de vol de conversations par e-mail comme un spam technique de distribution, le mois dernier, selon une Minerve Laboratoires de rapport, mais ils ont commencé à l’utiliser à l’échelle de cette semaine, selon la firme de sécurité Cofense, et chercheur en sécurité Marcus “MalwareTech” Hutchins.
En octobre dernier Emotet a commencé à voler le contenu de la victime e-mails. Cette semaine, il semble Emotet est l’aide de l’volés e-mails de fausses réponses à de messagerie existante chaînes avec des logiciels malveillants sur une échelle massive.
— MalwareTech (@MalwareTechBlog) 10 Avril 2019
Actuel Emotet spam semble être de levier e-mail les conversations qui ont été volés avant novembre 2018, Cryptolaemus Groupe de chercheur en sécurité Joseph Roosen dit ZDNet dans une interview. Cofense estime que plus récemment récoltés fils de discussion par courriel sera utilisé dans le futur.
Enlgish et allemand e-mail threads sont en train d’être détourné
Cette nouvelle Emotet email fil de spam n’est pas limitée à Enlgish e-mails, mais à la fois l’anglais et l’allemand e-mail threads sont ravivées, Roosen nous l’a dit.
“L’injection de réponse est généralement précédées de la mention “Attaché est la confidentialité de votre docs’,” at-il dit. “Ces modèles sont assez limitées dans la course et pas très nombreux par rapport à la “normale” [Emotet] malspam,” Roosen dit ZDNet.
Néanmoins, la Emotet équipe semble avoir mis toute son attention derrière cette campagne de spam. Normalement, le Emotet botnet est divisée en deux groupes, nommé E1 et E2. Roosen a dit à ZDNet que les deux groupes sont maintenant occupés crachant détourné fils de discussion par courriel.
Image: Trend Micro
×
emotet-le double de l’infrastructure.png
Si au cours des jours suivants, vous recevrez une réponse d’un ancien e-mail thread, cela signifie que vous êtes plus susceptibles d’être la cible de la Emotet logiciels malveillants.
En outre, cela signifie aussi qu’au moins une personne dans ce courriel, fil de discussion a été infecté avec Emotet dans le passé.
Si c’est une entreprise liée thread, cela signifie que l’un des employés ou des entreprises dans ce thread a déjà été compromise par Emotet dans les six derniers mois, et pourrait avoir eu sensible du vol de données à partir de leurs réseaux déjà.
Ainsi, le système de l’administrateur de l’un de ces e-mails arrivant sur leur serveur de messagerie doit commencer la numérisation de Emotet artefacts sur son réseau interne.
Emotet –aujourd’hui est la plupart des logiciels malveillants dangereux
Actuellement, Emotet est considéré comme l’un des plus dangereux logiciels malveillants souches. Le malware une fois que l’habitude d’être un cheval de troie bancaire, mais s’est transformé en un polyvalent malware “downloader” au cours des deux dernières années.
Emotet est maintenant un botnet géant d’ordinateurs infectés qui ses opérateurs sont en location à d’autres gangs criminels. Par exemple, les rapports de CrowdStrike, FireEye, Kryptos Logic, McAfee, IBM, et Cybereason, tous disent que Emotet a été utilisé comme un tremplin pour le Ryuk, LockerGoga, et BitPaymer ransomware souches.
Un oeil de plus près à trois #Emotet infections qui a finalement abouti à #ransomware être abandonné: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o
— Barkly (@barklyprotects) le 30 octobre 2018
Microsoft a publié une mise en garde formelle sur Emotet des entreprises partout dans le monde en novembre 2017, lorsque Emotet avait fini trasnforming à partir d’une banque de cheval de troie dans un malware downloader.
Depuis, Emotet a atteint une taille massive. Un Spamhaus rapport, le nombre de Emotet infections pour les mois de février et Mars 2019 47 000.
Aaron Higbee, Cofense Co-Fondateur et CTO, a déclaré à ZDNet que son entreprise “a vu plus de 700k infections au cours de la dernière 12 mois de suivi.”
De plus, ces infections chiffres sont seulement gratter la surface, comme Emotet les bots ont également la capacité de se déplacer latéralement à l’intérieur d’un compromis de réseau et de faire encore plus de victimes, dont certaines sont plus difficile ou presque impossible de suivre avec précision, comme Hutchins a déclaré la semaine dernière sur Twitter.
Oui, 47K infections ont été observées depuis deux mois passés seul , avec Emotets mouvement latéral des capacités et de l’utilisation de la rotation du c2, le nombre réel d’infections serait très élevé
— Raashid Bhat (@raashidbhatt) 3 avril 2019
Higbee de même d’accord.
“[Le de 700 k] nombre devra prendre en compte d’autres victimes en raison des mouvements latéraux,” Higbee nous l’a dit. “En moyenne, nous voyons environ 20k+ de nouvelles infections uniques par semaine. Bien que ce nombre ne reflète pas le courant total dans le réseau de zombies, il parle de l’efficacité de la Emotet groupes tactiques.”
En outre, comme un témoignage de Emotet de prévalence sur l’actualité des logiciels malveillants, les logiciels malveillants est classé premier dans la liste des top 10 des malwares souches analysées sur le Tout.Exécuter la virtualisation de services, et de classé deuxième Point à Vérifier top 10 des familles de logiciels malveillants classement pour le mois de Mars 2019 (le classement est quelque peu controversé et imprécis, mais Emotet du rang donne quand même une bonne impression de l’malware ubiquité).
Semaine du TOP10 des menaces par les envois de ANYRUN!
⬇️ #Emotet 445 (847)
⬆️ #Ursnif 155 (122)
⬆️ #GandCrab 136 (75)
⬇️ #Lokibot 115 (145)
⬇️ #NanoCore 106 (115)
⬆️ #HawkEye 76 (75)
⬆️ #AgentTesla 73 (66)
⬇️ #AZORult 64 (69)
⬇️ #Formbook 63 (70)
⬇️ #RemCos 61 (55)https://t.co/OQxYYBKfHR— TOUTE.EXÉCUTER (@anyrun_app) 8 avril 2019
Emotet la nouvelle tactique est très efficace
Tirant parti de la conversation de fils pour la distribution de logiciels malveillants n’est pas nouveau. Par exemple, le URSnif bancaire cheval de troie a utilisé la même tactique au cours des années précédentes –en Mars et en octobre 2018.
Le differenec est que le URSnif gang fabriqué les fils de discussion par courriel à partir de zéro. Il n’utilisez pas de conversations authentiques que les bénéficiaires sont les plus susceptibles de se souvenir, et, en soi, de la confiance.
“C’est une nouvelle tactique pour Emotet mais c’était prévu depuis l’e-mail stealer module a été vu en novembre 2018 par KryptosLogic,” Roosen dit ZDNet.
“Je pense que c’est une situation très dangereuse, pour diverses raisons. En dépit de la exfiltrated les conversations par messagerie, est datée, l’utilisation de déjà envoyé des documents insuffle un niveau de confort pour la plupart des utilisateurs en raison de la familiarité.
“[Nous] nous le savons, la plupart malspam est envoyé comme un début d’une nouvelle conversation/thread. Il est unique pour avoir une réelle réponse à partir d’un “connu” source avec votre précédent mail référencés. En raison de cette familiarité, les bénéficiaires peuvent laisser la garde vers le bas et d’effectuer des actions qu’il peut normalement pas faire avec un nouvel e-mail,” Roosen nous l’a dit.
“L’autre raison pourquoi c’est dangereux, c’est parce que les données contenues dans les filets de la e-mails et comment elle peut être une infraction de la conformité et de la sécurité cauchemar. Pensez GDPR/HIPAA [violations],” Roosen a dit, pointant ZDNet à un incident où un Emotet infection transformé en une notification en cas de violation.
Plusieurs chercheurs en sécurité avec qui ZDNet a parlé d’aujourd’hui sont de garder un œil sur Emotet pour voir si les prochaines campagnes de commencer l’envoi de ces fils de discussion par courriel aux personnes qui ne sont pas inclus dans l’e-mail d’origine boucles, exposant potentiellement les conversations privées à des étrangers, des entreprises concurrentes, ou d’autres parties intéressées-qui serait susceptible d’agir sur leur curiosité innée et voir ce que leurs concurrents ou partenaires d’affaires ont été à la hauteur, et obtenir infectés avec Emotet le long du chemin. Rappelez-vous: la Curiosité a tué le chat!
Des malwares et de la cybercriminalité de la couverture:
La cybercriminalité marché de la vente complète des empreintes digitales de plus de 60 000 usersTriton les pirates de retour avec de nouveaux secrets industriels attackReveton ransomware distributeur condamné à six ans de prison dans le UKSecurity chercheurs de découvrir la version iOS de l’Exode Android spywareCybercrime groupe FIN6 évolution du POS de logiciels malveillants à ransomwareUS gouvernement publie les détails sur la Corée du Nord HOPLIGHT malware Comment l’organisation des Nations Unies contribue à combattre la cybercriminalité TechRepublicApple retiré application populaire qui a été secrètement voler l’historique de votre navigateur CNET
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données