Emotet kapar e-post konversation trådar för att infoga länkar till malware

×

emotet.png

Den Emotet malware gänget är nu med hjälp av en taktik som har varit tidigare sett användas av nationalstaten hackare.

Koncernen har setts här veckan återuppliva gamla e-post konversation trådar och injicera länkar till skadliga filer.

Användare som deltar i tidigare e-post utbyte skulle få ett e-postmeddelande falska visas från en av deras tidigare kontaktpersoner, men faktiskt kommer från Emotet servrar.

E-post konversation skulle vara intakt, men Emotet gänget skulle infoga en URL på toppen av e-post som skulle länka till en Emotet-infekterade filen, eller bifoga en skadlig handling till den befintliga e-tråd.

Taktik stulna från nordkoreanska hackare

Den taktiken är inte ny. Tillbaka i oktober 2017, Palo Alto Networks rapporterade att en nordkoreansk hacka gruppen gjorde samma sak, att sätta in skadlig kod i e-post trådar.

Skillnaden är att den nordkoreanska gruppen var ett intrång i e-accouns, en i taget, för att kapa gamla e-trådar.

Den Emotet gäng har tagit en annan väg. De utnyttjar e-post trådar de började massa-skörd från tidigare infekterade victms i oktober förra året.

Gruppen började experimenterat med kapning stulna e-trådar som spam distribution teknik förra månaden, enligt en Minerva Labs rapport, men de började använda det på skala den här veckan, enligt säkerhetsföretaget Cofense och säkerhet forskaren Marcus “MalwareTech” Hutchins.

Nuvarande Emotet spam verkar vara att utnyttja e-post konversationer som har stulits före November 2018, Cryptolaemus Grupp säkerhet forskaren Joseph Roosen berättade ZDNet i en intervju. Cofense anser att mer nyligen avverkat e-trådar kommer att användas i framtiden.

Enlgish och tyska e-trådar är att stjälas

Denna nya Emotet e-tråd spam är inte begränsad till Enlgish e-post, men både engelska och tyska e-trådar är att återupplivas, Roosen berättade för oss.

“Den injicerade svar är oftast föregås med “fast är din konfidentiella dokument”, sade han. “Dessa mallar är ganska begränsad i kör och inte så många jämfört med det “normala” [Emotet] malspam,” Roosen berättade ZDNet.

Dock Emotet laget verkar ha lagt sin fulla uppmärksamhet bakom detta spam kampanj. Normalt Emotet botnet är uppdelad i två kluster, hette E1 och E2. Roosen berättade ZDNet att både kluster är nu upptagen spyr ut kapat e-trådar.

Bild: Trend Micro

×

emotet-dual-infrastruktur.png

Om under loppet av de följande dagarna får du ett svar från en gammal e-tråd, detta innebär att du är mest sannolikt att vara riktade med Emotet malware.

Dessutom, detta innebär också att minst en person i den e-post tråd har varit infekterade med Emotet i det förflutna.

Om det är en business-relaterade tråd, detta innebär att en av de anställda eller företag i tråden har redan drabbats av Emotet under de senaste sex månaderna, och kan ha haft känsliga uppgifter stulits från deras nätverk som redan har.

Därför är alla systemadministratören för att få se en av dessa e-post som ankommer på företagets e-postserver ska börja läsa Emotet artefakter på sitt interna nätverk direkt.

Emotet –dagens mest farliga malware

För närvarande Emotet anses vara en av de mest farliga malware stammar. Det skadliga programmet var en gång en bank trojan, men har förvandlats till en mångsidig malware “downloader” under loppet av de senaste två åren.

Emotet är nu en jätte botnet av infekterade datorer som dess aktörer är uthyrning till andra kriminella gäng. Till exempel, rapporter från CrowdStrike, FireEye, Kryptos Logik, McAfee, IBM, och Cybereason, alla säger att Emotet har använts som en språngbräda för Ryuk, LockerGoga, och BitPaymer ransomware stammar.

Microsoft har utfärdat en formell varning om Emotet till företag runt om i världen i November 2017, när Emotet hade avslutat trasnforming från en bank trojan i ett malware downloader.

Sedan dess Emotet har vuxit till en enorm storlek. En Spamhaus rapport uppskattar antalet Emotet infektioner för månaderna februari och Mars 2019 på 47,000.

Aron Higbee, Cofense Grundare och CTO, berättade ZDNet att hans företag “har sett över 700k infektioner under de senaste 12 månaderna för övervakning.”

Ytterligare, dessa infektioner nummer är bara skrapat på ytan, som Emotet robotar har också förmågan att röra sig i sidled inne i en nedsatt nätverk och göra ännu fler offer, av vilka vissa är svårare eller omöjligt att spåra exakt, som Hutchins sade i förra veckan på Twitter.

Higbee på samma sätt samtycker till det.

“[700k] antalet bör ta hänsyn till ytterligare ett offer på grund av rörelse i sidled,” Higbee berättade för oss. “I genomsnitt, ser vi ungefär 20k+ nya unika infektioner per vecka. Medan detta nummer speglar inte den nuvarande löpande summa i botnätet, det talar för att effekten av Emotet grupper taktik.”

Dessutom, som ett bevis för att Emotet är prevalensen på dagens landskapet för skadlig kod, malware är rankad först i listan över topp 10 malware stammar analyseras på Någon.Köra virtualisering service, och på andra plats i Check Point ‘ s top 10 malware familjer ranking för Mars 2019 (rangordning är något kontroversiellt, och felaktiga, men Emotet rang som ändå ger ett gott intryck av skadlig kod är utbyggda).

Emotet s nya taktik är ganska effektiv

Utnyttja e-post konversation trådar för malware distribution är inte ny. Till exempel, URSnif bank trojan har använt en liknande taktik i föregående år-i Mars och oktober 2018.

Den differenec är att URSnif gäng påhittade e-trådar från scratch. Det gjorde inte använda autentiska samtal som mottagare är mest sannolikt att komma ihåg, och i sig förtroende.

“Detta är en ny taktik för Emotet men det var väntat ända sedan i den e-stealer modul sågs i November 2018 av KryptosLogic,” Roosen berättade ZDNet.

“Jag anser att detta är en mycket farlig situation för olika skäl. Trots exfiltrated e-post konversationer är daterad, användning av tidigare sänt material som ingjuter en komfort nivå för de flesta användare på grund av förtrogenhet.

“[Vi] vet, de flesta malspam skickas som en start av en ny konversation/tråd. Det är unikt att ha ett faktiskt svar från en “känd” källa med din tidigare e-postmeddelanden som refereras. På grund av förtrogenhet, mottagare kan låta vakt och utföra åtgärder de kan normalt inte göra med en ny e-post,” Roosen berättade för oss.

“Det andra skälet till varför detta är farligt är på grund av de uppgifter som finns i trådar av e-post och hur det kan vara en överensstämmelse kränkning och säkerhet. Tror GDPR/HIPAA [kränkningar],” Roosen sade, pekande ZDNet att en incident där en Emotet infektion förvandlas till ett dataintrång anmälan.

Flera säkerhetsforskare som ZDNet talade idag är nu att hålla ett vakande öga på Emotet för att se om kommande kampanjer kommer att börja skicka dessa e-posttrådar till personer som inte ingår i det ursprungliga e-loopar, kan exponera privata samtal till utomstående, konkurrerande företag, eller andra berörda parter-som sannolikt skulle agera på deras medfödda nyfikenhet och se vad deras konkurrens eller bussiness partners har varit upp till, och få smittade med Emotet längs vägen. Kom bara ihåg: Nyfikenheten dödade katten!

Relaterade skadliga program och it-brottslighet täckning:

It-relaterad brottslighet marknad och sälja full digitala fingeravtryck av över 60 000 usersTriton hackare tillbaka med nya, hemliga industriell attackReveton ransomware distributör dömdes till sex års fängelse i UKSecurity forskare upptäcka iOS-versionen av Exodus Android spywareCybercrime grupp FIN6 utvecklas från POS skadlig kod till ransomwareUS regeringen publicerar information om Nordkorea HOPLIGHT malware Hur Fn hjälper till att bekämpa den globala it-relaterad brottslighet TechRepublicApple bort populär app som i hemlighet stjäla din webbläsare historia CNET

Relaterade Ämnen:

Säkerhet-TV

Hantering Av Data

CXO

Datacenter