`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Навесні активність ботнету Emotet зросла у 100 разів

0 
 

Компанія Eset повідомляє про підвищену активність ботнету Emotet, який масово розсилає користувачам спам-повідомлення з небезпечними файлами. Зокрема показник виявлення загрози за перші чотири місяці 2022 р. зріс більш ніж у 100 разів. Інфікування пристрою жертви відбувається після відкриття документа Word та натискання кнопки «Увімкнути вміст», яка запускала шкідливі макроси.

Навесні активність ботнету Emotet зросла у 100 разів

Виявлення Emotet за даними телеметрії Eset

Вперше загроза Emotet була зафіксована як банківський троян у червні 2014 р. Її творці одразу почали продавати доступ до скомпрометованих систем іншим групам кіберзлочинців. Таким чином після запуску на комп'ютері Emotet зазвичай завантажував інші види шкідливих програм.

Emotet має модульну структуру програми з основним компонентом, який розповсюджується через спам-листи зі шкідливими документами Microsoft Word. Потім Emotet використовує додаткові модулі, які дозволяють:

  • подальше поширення через спам-листи;
  • розповсюдження через найближчі незахищені мережі Wi-Fi, інфікуючи підключених користувачів;
  • підбір імен користувачів та паролів до спільних мережевих ресурсів;
  • перетворення скомпрометованих систем на проксі-сервери у своїй командній інфраструктурі;
  • несанкціоноване використання легітимних додатків, які можуть відновлювати паролі до популярних поштових клієнтів та браузерів відповідно;
  • викрадення адрес та імен електронної пошти з Microsoft Outlook;
  • викрадення всіх повідомлень та вкладень електронної пошти зі скомпрометованих систем.

У 2018 р. Emotet почав використовувати нову техніку, зокрема викрадати листи з поштових скриньок жертв та використовувати їх у своїх атаках. Такий підхід дозволяє спам-повідомленням виглядати більш правдоподібно та відповідно підвищує ймовірність відкриття вкладення користувачем.

Як тільки жертва відкриває документ Word та натискає «Увімкнути вміст», запускаються шкідливі макроси, які завантажують Emotet.

У той час як Emotet відновив свою шкідливу діяльність, масово поширюючи спам-листи в березні та квітні 2022 р., компанія Microsoft прийняла рішення про відмову від кнопки «Увімкнути вміст». Після цього автори Emotet перейшли до експериментів з різними методами, щоб замінити використання макросів для поширення шкідливих програм на початковому етапі атаки.

Зокрема у квітні-травні Emotet замість типового документа Microsoft Word використовував файл ярлика у шкідливому вкладенні. Після подвійного натискання цей файл запускав скрипт PowerShell, який завантажував Emotet.

Крім цього, у квітні кіберзлочинці заманювали жертв відкрити ZIP-архів, який зберігається в OneDrive та містить файли Microsoft Excel Add-in (XLL) для додавання спеціальних функцій до Excel. У разі розпакування та завантаження ці файли видалялись та запускався Emotet.

Тоді як наприкінці 2021 р. після відновлення діяльності ботнету зловмисники використовували інструмент Cobalt Strike Beacon, що дозволяло їм швидше розгортати фінальний компонент.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

 

Ukraine

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT