Emotet kaprer e-mail-samtalen tråde, indsætte links til malware

×

emotet.png

Den Emotet malware-bande er nu ved hjælp af en taktik, der har været der tidligere er set anvendt af nationalstaten hackere.

Gruppen er blevet spottet i denne uge at genoplive gamle e-mail-samtalen tråde og intravenøs links til ondsindede filer.

Brugere, der er involveret i den tidligere e-mail udvekslinger vil modtage en e-mail snydt til at blive vist fra en af deres tidligere korrespondenter, men faktisk kommer fra Emotet servere.

E-mail-samtalen tråd ville blive efterladt intakt, men Emotet bande vil indsætte en URL i toppen af e-mail, som vil linke til en Emotet-inficeret fil, eller vedhæfte et dokument til den eksisterende e-mail-tråd.

Taktik stjålet fra nordkoreanske hackere

Den taktik er ikke ny. Tilbage i oktober 2017, Palo Alto Networks rapporterede, at en nordkoreansk hacking gruppen var at gøre det samme, indsættelse af malware i gamle e-mail-tråde.

Forskellen er, at den nordkoreanske gruppen blev hacking af e-mail-accouns, en ad gangen, for at kapre gamle e-mail-tråde.

Den Emotet gang har taget en anden tilgang. De er at udnytte e-mail-tråde, de begyndte at masse-høst fra tidligere inficerede victms i oktober sidste år.

Gruppen startede eksperimenteret med kapring af stjålne e-mail-tråde som spam distribution teknik, der i sidste måned, efter at en Minerva-Labs rapport, men de begyndte at bruge det på en skala i denne uge, efter at vagtselskab Cofense, og sikkerhedsekspert Marcus “MalwareTech” Hutchins.

Nuværende Emotet spam, der ser ud til at være at udnytte e-mail-samtaler, der har været stjålet før November 2018, Cryptolaemus sikkerheds-forsker Joseph Roosen fortalte ZDNet i et interview. Cofense mener, at der for nylig høstede e-mail-tråde vil blive brugt i fremtiden.

Enlgish og tysk e-mail-tråde bliver kapret

Denne nye Emotet e-mail-tråd spam er ikke begrænset til Enlgish e-mails, men både engelsk og tysk e-mail-tråde er ved at blive genoplivet, Roosen fortalte os.

“Det injicerede svar er som regel indledes med ‘Knyttet til dit fortrolige dokumenter’,” sagde han. “Disse skabeloner er temmelig begrænset, i køre-og ikke meget talrige i forhold til den ‘normale’ [Emotet] malspam,” Roosen fortalte ZDNet.

Ikke desto mindre, den Emotet team synes at have sat sin fulde opmærksomhed bag dette spam-kampagne. Normalt Emotet botnet er delt op i to klynger, som er opkaldt E1 og E2. Roosen fortalte ZDNet, at begge klynger er nu optaget spyr ud kapret e-mail-tråde.

Billede: Trend Micro

×

emotet-dual-infrastruktur.png

Hvis der i løbet af de følgende dage vil du modtage et svar fra en gammel e-mail-tråd, betyder det, du er mest sandsynligt at blive ramt med Emotet malware.

Endvidere betyder dette også, at mindst én person i denne e-mail-tråd er blevet inficeret med Emotet i fortiden.

Hvis det er en virksomhed-relaterede tråd, betyder det, at en af de ansatte eller virksomheder i denne tråd er allerede blevet kompromitteret af Emotet i de seneste seks måneder, og har måske haft følsomme data bliver stjålet fra deres netværk, der allerede er.

Derfor, system administrator at se en af disse e-mails der ankommer på deres virksomheds e-mail-serveren skal starte med at scanne for Emotet artefakter på sit interne netværk med det samme.

Emotet –dagens mest farlige malware

I øjeblikket, Emotet betragtes som en af de mest farlige malware stammer. Den malware, der engang plejede at være en bank trojan, men har forvandlet sig til en alsidig malware “downloader” i løbet af de seneste to år.

Emotet er nu en gigantisk botnet af inficerede computere, som operatørerne er på udlejning til andre kriminelle bander. For eksempel, rapporter fra CrowdStrike, FireEye, Kryptos Logik, McAfee, IBM, og Cybereason, alle siger, at Emotet har været brugt som et springbræt til Ryuk, LockerGoga, og BitPaymer ransomware stammer.

Microsoft har udsendt en officiel advarsel om, Emotet til virksomheder rundt om i verden i November 2017, når Emotet var færdig trasnforming fra en bank trojan ind i en malware downloader.

Siden da, Emotet er vokset til en massiv størrelse. En Spamhaus rapport sætter antallet af Emotet infektioner for månederne februar og Marts 2019 på 47,000.

Aron Higbee, Cofense Co-Stifter og CTO, fortalte ZDNet, at hans firma “har set over 700k infektioner i løbet af de sidste 12 måneder af overvågning.”

Yderligere, disse infektioner tal er kun ridse overfladen, som Emotet bots har også evnen til at bevæge sig lateralt inde i en kompromitteret netværk og gøre endnu flere ofre, hvoraf nogle er sværere eller nær umuligt at spore præcist, som Hutchins sagde i sidste uge på Twitter.

Higbee tilsvarende er enig.

“[De 700k] tal skal tage hensyn til, at flere bliver ofre på grund af lateral bevægelse,” Higbee fortalte os. “I gennemsnit, vi ser omkring 20k+ nye unikke infektioner per uge. Mens dette tal ikke afspejler den aktuelle drift i alt i botnet, det taler til effekten af Emotet grupper taktik.”

Hertil kommer, som en hyldest til Emotet ‘ s tilstedeværelse på dagens malware landskab, den malware, der er placeret på førstepladsen på listen over top 10 malware stammer analyseret på Nogen.Kører virtualisering service, og en andenplads i Check Point ‘ s top 10 malware familier ranglisten for Marts 2019 (rækkefølgen er noget kontroversielt, og unøjagtige, men Emotet rang stadig giver et godt indtryk af den malware er allestedsnærværende).

Emotet ‘ s nye taktik er ganske effektiv

At udnytte e-mail-samtalen tråde for malware distribution, er ikke ny. For eksempel, URSnif banking trojanske har brugt en lignende taktik i de foregående år-i Marts og oktober 2018.

Den differenec er, at URSnif bande fremstillet den e-mail-tråde fra bunden. Det gjorde ikke brug af autentiske samtaler, at modtagerne er mest tilbøjelige til at huske, og i sagens natur har tillid til.

“Dette er en ny taktik for Emotet men det var ventet, siden den e-mail-stealer modul blev set i November 2018 af KryptosLogic,” Roosen fortalte ZDNet.

“Jeg tror, det er en meget farlig situation af forskellige grunde. På trods af den exfiltrated e-mail-samtaler, er dateret, brug af tidligere sendt materiale, der instills et komfort niveau for de fleste brugere på grund af fortrolighed.

“Som [vi] ved, de fleste malspam er sendt som en start på en ny samtale/tråd. Det er unikt at have et egentligt svar fra en “kendt” kilde med din tidligere e-mails, der refereres til. På grund af det kendskab, modtagere kan lade vagt ned og udføre de handlinger, som de måske ikke normalt gør med en ny e-mail,” Roosen fortalte os.

“Den anden grund til, hvorfor det er farligt på grund af de data, der er indeholdt i tråde af de e-mails, og hvordan det kan være en overensstemmelse overtrædelse og sikkerhed mareridt. Tror GDPR/HIPAA [overtrædelser],” Roosen sagde, peger ZDNet til en hændelse, hvor en Emotet infektion forvandlet til en underretning om brud på datasikkerheden.

Flere sikkerhedseksperter, med hvem ZDNet talte i dag er nu at holde et vågent øje på Emotet for at se, om kommende kampagner vil begynde at sende disse e-mail-tråde til personer, der ikke er medtaget i den oprindelige e-mail-loops, potentielt udsætter private samtaler til udenforstående, konkurrerende virksomheder eller andre interesserede-som sandsynligvis ville handle på deres medfødte nysgerrighed og se, hvad deres konkurrence eller forretnings partnere har været op til, og få inficeret med Emotet undervejs. Bare husk: Nysgerrighed dræbte katten!

Relaterede malware og it-kriminalitet dækning:

It-kriminalitet marked, der sælger digitale fingeraftryk af over 60.000 usersTriton hackere vende tilbage med nye, hemmelige industrielle attackReveton ransomware distributør dømt til seks år i fængsel i UKSecurity forskere opdage iOS-version af anden Mosebog Android spywareCybercrime gruppe FIN6 udvikler sig fra POS malware til ransomwareUS regeringen offentliggør oplysninger om nordkoreas HOPLIGHT malware, Hvordan Fn ‘ s hjælper med at bekæmpe globale it-kriminalitet TechRepublicApple fjernet populære app, der blev hemmeligt at stjæle din browser historie CNET

Relaterede Emner:

Sikkerhed-TV

Data Management

CXO

Datacentre