×
emotet.png
Operatörerna av Emotet bank trojan har tillbringat de senaste två månaderna tar över routrar och sakernas internet enheter för att bygga en kokong runt deras botnät.
Detta är första gången malware har setts använda infekterade routrar och sakernas internet enheter som mellanhand poäng för kommunikationen mellan infekterade datorer och malware command-and-control (C&C) servrar.
Tanken är att en Windows-dator infekterad med Emotet skulle skicka alla data som inhämtats från infekterade värdar att dessa routrar och sakernas internet enheter, som sedan skulle vidarebefordra informationen till den verkliga Emotet C&C-servrar. Det motsatta gäller också, med Emotet gänget att skicka kommandon till den infekterade smarta enheter, som vidaresända det till infekterade värdar.
Genom att göra detta, Emotet gänget hoppas att dölja den verkliga platsen för deras kommando infrastruktur och förhindra säkerhet forskare, webbhotell, och myndigheter från att ta ner delar av sitt botnet.
Routrar, kameror, smarta skrivare
Den Emotet gänget har varit med hackad routrar och sakernas internet enheter som ställföreträdare sedan förra månaden, Mars, enligt säkerhetsforskare från Trend Micro, som nyligen upptäckt den här uppdateringen i sin kod.
Genom att skanna tidigare prover av Emotet skadlig kod, skulle kunna få ut IP-adresser för tiotals äventyras routrar och sakernas internet enheter.
Listan innehåller IP-adresser på webben instrumentpanel av övervakningskameror, routrar, router FTP-servrar, webbkameror, och web paneler för smarta skrivare.
| Typ av enhet som är ansluten | |
| 24 | Webb-server gränssnittet IP-kamera |
| 3 | Router test-server |
| 4 | Router |
| 1 | Router FTP-server |
| 1 | Web cam |
| 1 | Web administration för skrivare, switchar, etc. |
Det praxis att använda proxy nätverk för att dölja skadlig trafik är inte nytt, men det är inte använts så här innan. Brottslingar använder sig vanligtvis av proxy nätverk när du ansluter från sina hem anslutningar till C&C-servrar, för att dölja sin riktiga plats.
Vissa kriminella grupper använder proxyservrar mellan infekterade värdar och C&C-servrar, men de använder sig vanligtvis av mer stabil proxy system som består av infekterade servrar, stationära och smartphone-enheter, som tenderar att vara igång under längre tid.
Proxy nätverk som består av infekterade routrar och IoT-enheter anses vara mindre stabila, eftersom mycket få (proxy-om du kan) IoT malware stammar kan uppnå boot uthållighet på infekterade värdar, alltså stöd för proxy är ryggraden för längre perioder.
Därför, med hjälp av en router eller sakernas internet enhetens IP-adress som en hårdkodad C&C-adressen inne malware prover kan leda till problem när IoT enheten återställs och malware tas bort från minnet.
Det verkar dock som att detta är en risk Emotet gäng som är villiga att ta till förmån för stealth.
Detta är inte heller koncernens enda trick. Förra året, Emotet gäng delat sitt botnet i två kluster, också i ett försök att göra det svårare för brottsbekämpande tjänstemän för att ta ner det, eftersom de skulle ha för att ta ner två olika botnät vid samma tid, snarare än bara en.
Generellt, Emotet malware är den i särklass en av de mest komplexa och mest farliga malware stammar i dag. Malware använder stora spam-kampanjer för att inrikta slutanvändare, kan röra sig i sidled inne i företag och nätverk, och har fastnat för massa-skörd och weaponizing offrets e-post.
Den Emotet koncernen hyr även tillgång till sitt botnet av infekterade värdar, och det har redan visat att många infektioner med Ryuk och LockerGaga ransomware stammar som kom efter organisationer var första träffen med Emotet.
Relaterade skadliga program och it-brottslighet täckning:
FBI: AMERIKANSKA företag som förlorade $1,3 miljarder 2018 på grund av BEC scamsAnother mörka webben marknaden biter dammet –Wall Street MarketAn inne titt på hur referensen fyllning verksamhet workSource kod för Carbanak trojan som finns på VirusTotalSecurity forskare skapar nya bakdörr inspirerad av läckt NSA malwareGoDaddy tar ner 15,000 underdomäner som används för online scamsHow för att undvika att dokument-baserade attacker malware TechRepublicGame of Thrones har de mest skadliga av alla piratkopierade TV-show CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter