×
emotet.png
Il Emotet malware gang è ora utilizzando una tattica che è stato visto in precedenza utilizzato da stato-nazione hacker.
Il gruppo è stato avvistato questa settimana riattualizzando email thread di conversazione e l’inserimento di link a file dannosi.
Gli utenti coinvolti nel precedente scambi di email, avrebbe ricevuto una e-mail spoofing apparire da una loro precedente corrispondenti, ma in realtà proveniente da Emotet server.
L’email thread di conversazione sarebbe rimasto intatto, ma il Emotet gang inserire un URL nella parte superiore della e-mail di collegamento, per un Emotet-file infetto, o allegare un documento dannoso per la posta elettronica esistente thread.
Tattica rubati da hacker Nord coreani
La tattica non è nuova. Torna nel mese di ottobre 2017, Palo Alto Networks ha riferito che la corea del Nord gruppo di hacker è stato che fa lo stesso, l’inserimento di malware in vecchi thread di email.
La differenza è che la corea del Nord gruppo è stato hacking in email accouns, uno alla volta, per dirottare il vecchio thread di email.
Il Emotet gang ha preso un approccio diverso. Essi stanno sfruttando e-mail thread cominciarono massa-raccolta precedentemente infettati victms nell’ottobre dello scorso anno.
Il gruppo ha sperimentato con il dirottamento di furto thread di email come spam tecnica di distribuzione il mese scorso, secondo una Minerva Labs rapporto, ma hanno iniziato a utilizzare a scala di questa settimana, secondo la società di sicurezza Cofense, e il ricercatore di sicurezza Marcus “MalwareTech” Hutchins.
Lo scorso ottobre Emotet iniziato a rubare il contenuto della vittima e-mail. Questa settimana sembra Emotet utilizza il furto di e-mail per falso risposte esistenti e-mail a catena con malware su larga scala.
— MalwareTech (@MalwareTechBlog) 10 Aprile 2019
Corrente Emotet spam sembra essere sfruttando le conversazioni e-mail che sono stati rubati prima di novembre 2018, Cryptolaemus Gruppo ricercatore di sicurezza Joseph Roosen detto a ZDNet in un’intervista. Cofense ritiene che più di recente raccolto thread di email sarà utilizzato in futuro.
Enlgish e tedesco e-mail thread vengono dirottati
Questo nuovo Emotet thread email di spam non è limitato a Enlgish e-mail, ma sia in inglese e tedesco e-mail thread vengono rianimati, Roosen ci ha detto.
“Iniettato di risposta è di solito preceduti da ‘Allegato il confidenziali documenti’,”, ha detto. “Questi modelli sono piuttosto limitati in esecuzione e non molto numerosi rispetto al ‘normale’ [Emotet] malspam,” Roosen detto a ZDNet.
Tuttavia, il Emotet squadra sembra aver messo la sua piena attenzione dietro questa campagna di spam. Normalmente, il Emotet botnet è divisa in due gruppi, denominati E1 e E2. Roosen detto a ZDNet che entrambi i cluster sono ora impegnati a sputare fuori dirottato il thread di email.
Immagine: Trend Micro
×
emotet-dual-infrastrutture.png
Se nel corso dei giorni seguenti, si riceve una risposta da un vecchio thread email, questo significa che si è più probabilità di essere presi di mira con Emotet malware.
Inoltre, questo significa anche che almeno una persona nella e-mail che il thread è stato infettato con Emotet in passato.
Se è un lavoro relativi thread, questo significa che uno dei dipendenti o aziende in quanto il thread è già stato compromesso da Emotet negli ultimi sei mesi, e potrebbe avere avuto dati sensibili rubati dalle loro reti già.
Quindi, qualsiasi amministratore di sistema vedere una di queste e-mail in arrivo sulla loro azienda e-mail, server dovrebbe avviare la scansione per Emotet artefatti sulla sua rete interna.
Emotet –oggi più pericolosi malware
Attualmente, Emotet è considerato uno dei più pericolosi malware ceppi. Il malware, una volta usato per essere un trojan bancario, ma si è trasformato in un versatile malware “downloader” nel corso degli ultimi due anni.
Emotet ora è un gigante botnet di computer infetti che i suoi operatori affittare ad altre bande di criminali. Per esempio, i rapporti da CrowdStrike, FireEye, Kryptos Logica, McAfee, IBM, e Cybereason, tutti dicono che Emotet è stato usato come un trampolino di lancio per la Ryuk, LockerGoga, e BitPaymer ransomware ceppi.
Uno sguardo più da vicino a tre #Emotet infezioni che alla fine si traduce in #ransomware che viene scartato: https://t.co/1TtnJrDmDB pic.twitter.com/z267ggdA9o
— Barkly (@barklyprotects) 30 ottobre 2018
Microsoft ha rilasciato un avvertimento formale circa Emotet per le aziende di tutto il mondo nel mese di novembre 2017, quando Emotet aveva finito trasnforming da un trojan bancario in un downloader malware.
Da allora, Emotet ha raggiunto dimensioni enormi. Un Spamhaus report di mettere il numero di Emotet infezioni per i mesi di febbraio e Marzo 2019 a 47,000.
Aaron Higbee, Cofense Co-Fondatore e CTO, ha detto a ZDNet che la sua società “ha visto oltre 700mila infezioni durante gli ultimi 12 mesi di monitoraggio.”
Inoltre, queste infezioni numeri sono solo la punta dell’iceberg, come Emotet bot anche avere la capacità di spostare lateralmente all’interno di una rete compromessa e rendere ancora più vittime, alcune delle quali sono più difficile o quasi impossibile tracciare con precisione, come Hutchins ha detto la scorsa settimana su Twitter.
Sì, 47K sono state osservate infezioni dal passato due mesi da solo , con Emotets laterale capacità di movimento e di utilizzo di rotazione c2, il numero effettivo di infezioni sarebbe molto alto
— Raashid Bhat (@raashidbhatt) e il 3 aprile, 2019
Higbee altresì d’accordo.
“[Il 700k] numero dovrebbe prendere in considerazione ulteriori vittime a causa di movimento laterale,” Higbee ci ha detto. “In media, vediamo circa 20k+ nuova e unica infezioni a settimana. Mentre questo numero non riflettono l’attuale totale di esecuzione all’interno di una botnet, parla dell’efficacia della Emotet gruppi tattiche.”
Inoltre, come un testamento al Emotet prevalenza di oggi malware paesaggio, il malware è classificato al primo posto nella lista dei top 10 del malware ceppi analizzati in Qualsiasi.Esecuzione di servizi di virtualizzazione, e seconda classificata nel Check Point top 10 famiglie di malware classifica per il mese di Marzo 2019 (la classifica è un po ‘ controversa e imprecisa, ma Emotet rango ancora dà una buona impressione di malware ubiquità).
Settimana TOP10 minacce da caricamenti per ANYRUN!
⬇️ #Emotet 445 (847)
⬆️ #Ursnif 155 (122)
⬆️ #GandCrab 136 (75)
⬇️ #Lokibot 115 (145)
⬇️ #NanoCore 106 (115)
⬆️ #HawkEye 76 (75)
⬆️ #AgentTesla 73 (66)
⬇️ #AZORult 64 (69)
⬇️ #Formbook 63 (70)
⬇️ #RemCos 61 (55)https://t.co/OQxYYBKfHR— QUALSIASI.RUN (@anyrun_app) 8 aprile, 2019
Emotet nuova tattica è molto efficiente
Sfruttando email thread di conversazione per la distribuzione di malware non è nuovo. Per esempio, il URSnif trojan bancario ha usato una tattica simile negli anni precedenti –a Marzo e a ottobre 2018.
Il differenec è che il URSnif gang fabbricato il thread di email da zero. Non utilizzare autentica conversazioni che i destinatari sono più propensi a ricordare, e intrinsecamente fiducia.
“Questa è una nuova tattica per Emotet ma era previsto fin dall’email stealer modulo è stato visto nel novembre del 2018 da KryptosLogic,” Roosen detto a ZDNet.
“Penso che questa è una situazione molto pericolosa per vari motivi. Nonostante il exfiltrated le conversazioni e-mail è datata, l’uso di materiale precedentemente inviato infonde un livello di comfort per la maggior parte degli utenti a causa della familiarità.
“Quando [si] sappiamo, la maggior parte malspam viene inviato come un inizio di una nuova conversazione/discussione. È l’unico ad avere una vera e propria risposta da un ‘noto’ origine con la precedente e-mail di riferimento. A causa di che la familiarità, i destinatari possono far la guardia e di eseguire azioni che non possono normalmente si fanno con un nuovo e-mail”, Roosen ci ha detto.
“L’altra ragione per cui questo è pericoloso perché i dati contenuti all’interno del thread di messaggi di posta elettronica, e come essa possa essere una violazione di conformità e di sicurezza incubo. Pensare GDPR/HIPAA [violazioni],” Roosen disse indicando ZDNet per un incidente in cui un Emotet infezione trasformato in una violazione dei dati di notifica.
Diversi ricercatori di sicurezza con il quale ZDNet ha parlato oggi ora stanno mantenendo un occhio vicino sul Emotet per vedere se le prossime campagne di avviare l’invio di queste e-mail di thread a soggetti non inclusi nell’e-mail originale con passanti, potenzialmente esporre conversazioni private con gli stranieri, imprese concorrenti, o di altre parti interessate-che sarebbe probabilmente agire su di loro innata curiosità e vedere cosa fa la concorrenza o bussiness partner, e ottenere infettati con Emotet lungo la strada. Basta ricordare: la Curiosità uccise il gatto!
Correlati malware e attacchi informatici di copertura:
Cybercrime vendita sul mercato pieno di impronte digitali di oltre 60.000 usersTriton hacker di ritorno con un nuovo, covert industriale attackReveton ransomware distributore condannato a sei anni di carcere nel UKSecurity ricercatori scoprono la versione iOS di Esodo Android spywareCybercrime gruppo FIN6 si evolve da POS malware ransomwareUS governo pubblica i dettagli sulla Corea del Nord HOPLIGHT malware Come le Nazioni Unite, aiuta a combattere la criminalità informatica globale TechRepublicApple rimosso popolare applicazione che è stato segretamente rubare la cronologia del browser CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati