Różności i nowinki technologiaTelefony

Nie bez powodu w Twojej skrzynce odbiorczej znajduje się więcej złośliwego spamu – powrócił Emotet

Ręce robota działają na klawiaturze laptopa.

Emotet, najbardziej kosztowny i destrukcyjny botnet na świecie, powrócił w piątek po pięciomiesięcznej przerwie z falą złośliwego spamu mającego na celu rozprzestrzenianie backdoora, który instaluje oprogramowanie ransomware, trojany oszukujące banki i inne złośliwe oprogramowanie.

Botnet wysłał w ciągu dnia ogromną liczbę 250 000 wiadomości, głównie do ludzi w Stanach Zjednoczonych i Wielkiej Brytanii – powiedział Ars Sherrod DeGrippo, starszy dyrektor ds. Badań i wykrywania zagrożeń w firmie ochroniarskiej Proofpoint. Inni badacze powiedzieli, że cele były również zlokalizowane na Bliskim Wschodzie, w Ameryce Południowej i Afryce. Botnet podążał za charakterystycznym wzorcem wysyłania złośliwego dokumentu lub odsyłacza do złośliwego pliku, który po aktywacji instaluje backdoora Emotet.

Mapa pokazująca, gdzie Emotet trafił w piątek.
Powiększać / Mapa pokazująca, gdzie w piątek trafił Emotet.

We wtorek botnet dał pierwsze oznaki powrotu, wysyłając niewielkie ilości wiadomości. Przykładowe wiadomości e-mail, które pojawiły się na kontach na Twitterze z monitorów zagrożeń abuse.ch i Spamhaus, wyglądały następująco:

Odrodzenie Emoteta w piątek zostało również zauważone przez dostawcę oprogramowania antywirusowego Malwarebytes i Microsoft.

Pudełko sztuczek

Emotet okazał się jednym z bardziej zaradnych zagrożeń, z którymi ludzie muszą się zmierzyć w ostatnich latach. Często wydaje się, że e-maile pochodzą od osoby, z którą cel korespondował w przeszłości. Szkodliwe wiadomości często wykorzystują tematy i treści poprzednich wątków e-mailowych, w których uczestniczyli. Emotet uzyskuje te informacje, gromadząc listy kontaktów i skrzynki odbiorcze zainfekowanych komputerów.

Technika ma podwójną korzyść. To nakłania osobę do myślenia, że ​​wiadomości można zaufać, ponieważ pochodzi od znanego przyjaciela, znajomego lub współpracownika, który śledzi wcześniej omawianą sprawę. Włączenie autentycznej treści utrudnia również filtrom spamu wykrywanie wiadomości e-mail jako złośliwych.

Kolejna sprytna sztuczka Emoteta: kradnie nazwy użytkowników i hasła do serwerów wychodzących. Następnie botnet wykorzystuje te dane uwierzytelniające do wysyłania poczty z tych serwerów zamiast polegać na własnej infrastrukturze. Ponieważ zaufane serwery wysyłają złośliwe wiadomości, są trudniejsze do wykrycia i zablokowania przez produkty zabezpieczające.

Uderz i uciekaj

DeGrippo powiedział, że ostatni raz Emotet pokazał się podczas pięciodniowego biegu na początku lutego, który dostarczył około 1,8 miliona wiadomości. Botnet jest znany z tego, że robi duże wybuchy przez krótkie okresy, a następnie milczy na tygodnie lub miesiące. We wrześniu zeszłego roku obudził się z czteromiesięcznego snu.

Grupa znana jest z długich przerw i regularnych urlopów w weekendy i ważne okresy świąteczne. Zgodnie ze swoim normalnym schematem, ostatnia aktywność Emotet została całkowicie zatrzymana w sobotę rano, gdy ten post został opublikowany. Oprócz umożliwienia pracownikom zachowania zdrowej równowagi między życiem zawodowym a prywatnym, harmonogram sprawia, że ​​kampanie są skuteczniejsze.

„Kluczem dla większości aktorów zagrożeń jest zminimalizowanie czasu między nimi [malicious mail] trafia w skrzynkę odbiorczą, a kiedy zostaje otwarta przez cel ”- wyjaśnił DeGrippo. „Im dłużej upływa ten czas, tym większe jest ryzyko dla aktora będącego zagrożeniem, że jego ładunek nie zostanie dostarczony z powodu ograniczających kontrole”.

Wiadomości Emotet zawierają złośliwe dokumenty programu Microsoft Word lub pliki PDF lub adresy URL, które zawierają odsyłacze do złośliwych plików programu Word. Dokumenty Word zawierają makra, które po aktywacji instalują backdoora Emotet. Backdoor zazwyczaj czeka kilka dni, zanim zainstaluje kolejne szkodliwe oprogramowanie, takie jak trojan bankowy TrickBot lub ransomware Ryuk.

Naukowcy opublikowali wskaźniki kompromisu z piątkowego wybuchu wiadomości tutaj, tutaj i tutaj.

Emotet to kolejne przypomnienie, że ludzie powinni być bardzo podejrzliwi w stosunku do plików i linków wysyłanych w wiadomościach e-mail, szczególnie jeśli wydają się one wyrwane z kontekstu, na przykład gdy znajomy wysyła fakturę. Ludzie powinni być podwójnie podejrzliwi wobec każdego dokumentu Worda, który wymaga włączenia makr przed wyświetleniem zawartości. Konsumenci rzadko mają jakikolwiek powód, by używać makr, więc dobra zasada domowa brzmi, aby nigdy ich nie włączać z jakiegokolwiek powodu. Lepszą zasadą jest nadal otwieranie dokumentów Worda w Dokumentach Google, co zapobiega instalowaniu złośliwego oprogramowania na komputerze lokalnym.



Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook