După un timp plecat, Botnet Emotet a revenit după o pauză de o lună și are câteva trucuri noi. Acum par să provină de la un contact cunoscut, se adresează destinatarului după nume și par să răspundă la o persoană existentă e-mail fir.
Emotetul este unul dintre principalele pericole de pe Internet, așa că nu strica niciodată să vă reîmprospătați memoria cu trucuri noi inveti si incerci sa nu cazi in ghearele lui.
Trucuri noi pentru Emotet
Emotet folosește o serie de trucuri pentru a încerca să evite detectarea și analiza. Emotet este polimorf , ceea ce înseamnă că se poate schimba de fiecare dată când este descărcat și să evite detectarea bazată pe semnătură.
De fiecare data Emotet s-a întors în pauzele anterioare, a adus noi tehnici concepute pentru a evita produsele de securitate și pentru a păcăli utilizatorii să facă clic pe linkuri sau să activeze cod periculos în Microsoft Documente atașate Office. Reluarea activității săptămâna trecută a urmat acest model.
Săptămâna trecută, un val de mesaje spam rău intenționate au fost detectate care par să provină de la un contact cunoscut, se adresează destinatarului după nume și par să răspundă la un fir de e-mail existent. În acest fel, adaugă credibilitate e-mailului rău intenționat și cresc șansele ca cineva să muște.
De exemplu, unul dintre documentele Word conținea o cantitate mare de date străine atașate la capăt, făcându-l să depășească 500 MB în dimensiune, ceea ce este neobișnuit pentru un fișier text, dar se sustrage de la detectare și ar putea fi scanat de unele produse de securitate. continutul. Această tehnică, cunoscută ca umplutură binară sau pompare de fișiere , funcționează prin adăugarea de zerouri la sfârșitul documentului.
Când sunt deschise, documentele Word prezintă un grafic care spune că conținutul nu poate fi accesat decât dacă utilizatorul face clic pe butonul „Activare conținut”. Făcând clic pe butonul „Activați conținutul”, se anulează această implicită și permite rularea macrocomenzii. Macrofonul face ca Office să descarce un fișier .zip de pe un site web legitim care a fost piratat. Office va dezarhiva apoi fișierul comprimat și rulați DLL Emotet care infectează dispozitivul.
Fundal emotet
Emotet este un troian care este răspândit în principal prin intermediul e-mailuri spam (malspam) . Infecția poate ajunge acolo prin scripturi rău intenționate, fișiere de document cu macro-activate sau linkuri rău intenționate.
E-mailurile de la Emotet pot conține imagini de la mărci cunoscute, concepute pentru a arăta ca un e-mail legitim. Emotetul poate încercați să convingeți utilizatorii să facă clic pe fișierele rău intenționate prin utilizarea unui limbaj atrăgător despre „Factura dvs.”, „Informații de plată” sau, eventual, o expediere viitoare de la companii de curierat binecunoscute.
Emotet a trecut prin câteva iterații. Versiunile anterioare au sosit ca fișier JavaScript rău intenționat. Versiunile ulterioare au evoluat pentru a utiliza documente cu macro-activate pentru a recupera încărcătura utilă a virusului de pe serverele de comandă și control (C&C) conduse de atacatori. Acum avem trucuri noi și cu siguranță nu vor fi ultimele.