Τρίτη, 27 Οκτωβρίου, 10:55
Αρχική security Emotet: Νέες καμπάνιες παριστάνουν email για Windows Update

Emotet: Νέες καμπάνιες παριστάνουν email για Windows Update

Στο σημερινό τοπίο ασφάλειας στον κυβερνοχώρο, το botnet Emotet είναι μια από τις μεγαλύτερες πηγές malspam – ένας όρος που χρησιμοποιείται για να περιγράψουν email που παρέχουν συνημμένα αρχεία με κακόβουλο λογισμικό.

Αυτές οι καμπάνιες malspam είναι απολύτως ζωτικής σημασίας για τους χειριστές του Emotet.

Είναι η βάση που υποστηρίζει το botnet, τροφοδοτώντας νέα θύματα στη μηχανή που ονομάζεται Emotet – μια επιχείρηση Malware-as-a-Service (MaaS) που ενοικιάζεται σε άλλες εγκληματικές ομάδες.

emotet

Για να αποφευχθεί η ανάληψη και η επισήμανση των email τους ως «κακόβουλων» ή «ανεπιθύμητων», η ομάδα Emotet αλλάζει τακτικά τον τρόπο παράδοσης αυτών των μηνυμάτων και τον τρόπο εμφάνισης των συνημμένων αρχείων.

Οι χειριστές του Emotet αλλάζουν τα θέματα των email, το κείμενο των email, τον τύπο των συνημμένων αρχείων, αλλά και το περιεχόμενο του συνημμένου αρχείου, το οποίο είναι εξίσου σημαντικό με το υπόλοιπο email.

Αυτό συμβαίνει επειδή οι χρήστες που λαμβάνουν το Emotet malspam, εκτός από την ανάγνωση του email και το άνοιγμα του αρχείου, πρέπει να επιτρέψουν στο αρχείο να εκτελέσει αυτοματοποιημένα scripts που ονομάζονται “macros”. Οι μακροεντολές του Office εκτελούνται αφού ο χρήστης πατήσει το κουμπί “Enable Editing” που εμφανίζεται μέσα σε ένα αρχείο του Office.

Η εξαπάτηση των χρηστών για ενεργοποίηση της επεξεργασίας είναι εξίσου σημαντική για τους χειριστές malware, όπως και ο σχεδιασμός των email templates τους, του malware τους ή της υποδομής backend του botnet.

Κατά τη διάρκεια των ετών, το Emotet έχει αναπτύξει μια συλλογή εγγράφων Office που χρησιμοποιούν μια μεγάλη ποικιλία “θελγήτρων” για να πείσει τους χρήστες να κάνουν κλικ στο κουμπί “Enable Editing”.

Αλλά αυτή την εβδομάδα, το Emotet επέστρεψε με ένα νέο δέλεαρ εγγράφων.

Τα συνημμένα αρχεία που στάλθηκαν σε πρόσφατες καμπάνιες Emotet δείχνουν ένα μήνυμα που ισχυρίζεται ότι προέρχεται από την υπηρεσία Windows Update, το οποίο λέει στους χρήστες ότι η εφαρμογή Office πρέπει να ενημερωθεί. Φυσικά, αυτό πρέπει να γίνει κάνοντας κλικ στο κουμπί Enable Editing.

Σύμφωνα με μια ενημέρωση από την ομάδα Cryptolaemus, αυτά τα θέλγητρα Emotet έχουν “σπαμμάρει” χρήστες που βρίσκονται σε όλο τον κόσμο.

Σύμφωνα με αυτήν την αναφορά, σε μερικούς μολυσμένους hosts, το Emotet εγκατέστησε το TrickBot trojan, επιβεβαιώνοντας μια αναφορά του ZDNet που κυκλοφόρησε νωρίτερα αυτήν την εβδομάδα ότι το botnet TrickBot επέζησε μιας πρόσφατης προσπάθειας κατάργησης από τη Microsoft και τους συνεργάτες της.

Αυτά τα παγιδευμένα έγγραφα αποστέλλονται από email με ψεύτικες ταυτότητες, που φαίνεται να προέρχονται από γνωστούς και επιχειρηματικούς εταίρους.

Επιπλέον, το Emotet χρησιμοποιεί συχνά μια τεχνική που ονομάζεται «conversation hijacking», μέσω της οποίας κλέβει email threads από μολυσμένους hosts, εισάγει τον εαυτό του στο thread με μια απάντηση που παριστάνει έναν από τους συμμετέχοντες και προσθέτει τα συνημμένα έγγραφα του Office.

Η τεχνική είναι δύσκολο να εντοπιστεί, ειδικά μεταξύ των χρηστών που εργάζονται με επαγγελματικά email σε καθημερινή βάση, και αυτός είναι ο λόγος για τον οποίο το Emotet καταφέρνει πολύ συχνά να μολύνει εταιρικά ή κυβερνητικά δίκτυα.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.

LIVE NEWS

FBI: Στηρίζει το Cyber Camp των ΗΠΑ για την εκπαίδευση νέων στο IT και την κυβερνοασφάλεια

Το αμερικανικό διαστημικό και πυραυλικό κέντρο (USSRC) και το FBI συνεργάζονται έχοντας ως στόχο την υποστήριξη του Cyber Camp των ΗΠΑ. Αυτό...
00:01:52

ΗΠΑ: Κυρώσεις σε ρωσικό ινστιτούτο για την ανάπτυξη του Triton malware!

Το Υπουργείο Οικονομικών των ΗΠΑ ανακοίνωσε στο τέλος της προηγούμενης εβδομάδας κυρώσεις για ένα ρωσικό ερευνητικό ινστιτούτο, το οποίο φέρεται να εμπλέκεται...

Τρόπος προσαρμογής των ειδοποιήσεων για συγκεκριμένα email στο Outlook

Το inbox σας μπορεί να κατακλυστεί με ασήμαντα email. Μερικές φορές, όμως, πρέπει πραγματικά να γνωρίζετε πότε ένα συγκεκριμένο μήνυμα θα φτάσει...

Βιοϊατρική κυβερνοεπίθεση: Χάκερς στέλνουν phishing emails

Βιοϊατρική κυβερνοεπίθεση: Χάκερς στέλνουν phishing emails Σε εξέλιξη βρίσκεται κυβερνοεπίθεση που στοχεύει εταιρικούς χρήστες από πολλές εταιρείες στην Ελλάδα, με emails...

Πώς να ελέγξετε τη φωτεινότητα του φακού του iPhone σας

Πιθανότατα δεν αποτελεί έκπληξη για κανέναν ιδιοκτήτη iPhone ότι μπορούν να χρησιμοποιήσουν το φλας LED στο πίσω μέρος του iPhone σας ως...

Έλεγχος των ενημερώσεων των Windows 10 με αυτά τα settings

Η Microsoft έχει προσθέσει νέες ρυθμίσεις που επιτρέπουν στους χρήστες να αποκτήσουν μεγαλύτερο έλεγχο στον τρόπο με τον οποίο το Windows Update...

Η Microsoft έκανε μια έρευνα και θύμωσε με τα αποτελέσματα της

Η Microsoft ανέθεσε πρόσφατα στην ερευνητική εταιρεία YouGov να κάνει μια έρευνα σε 5.000 χρήστες - οι ερωτήσεις αφορούσαν τις γενικότερες και...

Δημοφιλείς παιδικές εφαρμογές αφαιρούνται από το Play Store

Οι εξαιρετικά δημοφιλείς εφαρμογές Number Coloring, Princess Salon και Cats & Cosplay έχουν αφαιρεθεί από το Play Store, μετά από έρευνα του...

Facebook Oculus: Δεν γίνονται ban όσοι χρησιμοποιούν πολλά headsets

Η κίνηση της Oculus να "απαιτεί" λογαριασμούς Facebook δημιουργεί σοβαρά προβλήματα σε ορισμένους από τους μεγαλύτερους φαν της. Τα Windows Central αναφέρουν...

Οι σχολικές κοινότητες του Yorktown και Croton-Harmon παραβιάστηκαν

Οι σχολικές κοινότητες του Yorktown και Croton-Harmon στο Westchester County, έπεσαν πρόσφατα θύματα παραβίασης δεδομένων, όταν ένας κακόβουλος παράγοντας μόλυνε με ransomware...