Nowy Emotet wykorzystuje zainfekowane urządzenia jako serwery poleceń proxy

[Grandalf]

Nowy wariant trojana Emotet został zaobserwowany na wolności, z dodatkowymi możliwościami wykorzystania zaatakowanych połączonych urządzeń jako serwerów poleceń proxy oraz stosowania losowych ścieżek katalogów URI do unikania reguł wykrywania opartych na sieci.

Nowa wersja Emotet została wykryta przez zespół badawczy firmy Trend Micro podczas analizowania ruchu sieciowego złośliwego oprogramowania i odkrycia, że ma on „inny ruch związany z infekcją POST”, a także próbuje ukryć swoje prawdziwe serwery C2 przy użyciu wcześniej zainfekowanych urządzeń jako serwerów proxy.

Naukowcy odkryli również, że operatorzy Emotet aktywnie próbują skompromitować urządzenia, takie jak kamery IP, routery, kamery internetowe i interfejsy sieciowe / panele administracyjne, aby dodać je do swojej infrastruktury kamuflażu jako część nowej dodatkowej warstwy komunikacyjnej serwera.

Twórcy Emotetu muszą ukryć prawdziwe serwery C2 używane w ich kampaniach, ponieważ ich adresy IP są na

Zaloguj lub Zarejestruj się aby zobaczyć!

co bardzo ułatwia analizę infrastruktury botnetu.

źródło:

Zaloguj lub Zarejestruj się aby zobaczyć!

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Aktualizacja - trojan bankowy Emotet w ofensywie bohaterem miesiąca

Choć do końca miesiąca zostało jeszcze trochę dni, to niektórzy analitycy już teraz stwierdzają, że maj 2019 należy do Emoteta, który funkcjonuje w cyberprzestrzeni od marca 2017, będąc następcą takich trojanów bankowych jak Dridex, Geodo, Feodo.

Jako ofiary malware (a właściwie jego operator) wybiera osoby oraz firmy związane z sektorem finansowym. Skala ataków na świecie jest ogromna, każdego dnia pojawia się ponad kilkaset nowych zainfekowanych dokumentów wraz z kilkuset nowymi serwerami, które je dystrybuują. Malware jest polimorficzny, co oznacza, że niemal każda próbka jest inna, co wyklucza detekcję opartą o mechanizmy sygnaturowe. W ostatnich dniach stale prowadzone są w dużej skali kampanie Emoteta skierowane specjalnie przeciwko polskim użytkownikom (m.in. dobrze przygotowane maile socjotechniczne). Dotychczas Emotet trafiał nas raczej z mniejszym impetem i w ramach ogólnoświatowych kampanii (o czym świadczy brak profilowania maili).

Cały arykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!

 

[Grandalf]

Wydaje się, że serwery dowodzenia i kontroli (C2) dla botnetu Emotet wznowiły działalność i ponownie dostarczają pliki binarne. Emotet jest obecnie jednym z największych zagrożeń, a jego infrastruktura służy do rozpowszechniania Trickbot, kolejnego trojana bankowego, a następnie do rozprzestrzeniania oprogramowania ransomware Ryuk. Ta kombinacja została nazwana „potrójnym zagrożeniem”.

Naukowcy zauważyli, że operatorzy Emotet zrobili sobie przerwę na początku czerwca i poprawnie założyli, że nie potrwa to długo. Od tego czasu nie zaobserwowano żadnych nowych kampanii, a ogólna opinia społeczności infosec była taka, że serwery nie działały z powodu konserwacji.

Lista serwerów uznanych za aktywne jest

Zaloguj lub Zarejestruj się aby zobaczyć!

.

Cały artykuł:

Zaloguj lub Zarejestruj się aby zobaczyć!