Банковский троян [B]Emotet[/B] был впервые обнаружен исследователями безопасности в 2014 году. Первоначально Emotet создавался как банковское вредоносное ПО, которое пыталось проникнуть на ваш компьютер и украсть конфиденциальную и личную информацию. В более поздних версиях программного обеспечения были добавлены службы рассылки спама и вредоносных программ, в том числе других банковских троянцев. Emotet использует функции, которые помогают избежать обнаружения программного обеспечения некоторыми продуктами для защиты от вредоносных программ. Emotet использует возможности червя для распространения на другие подключенные компьютеры. Это помогает в распространении вредоносного ПО. Эта функция позволила прийти к выводу, что Emotet является одним из наиболее дорогостоящих и разрушительных вредоносных программ, поражающих государственный и частный секторы, отдельных лиц и организации, а устранение которых обходится в 1 миллион долларов за инцидент.
[B]Что такое Emotet? [/B]Emotet - это троянец, который в основном распространяется через спам-сообщения (malspam). [B]Заражение может происходить либо через вредоносный сценарий, файлы документов с поддержкой макросов, либо через вредоносную ссылку.[/B] Электронные письма Emotet могут содержать знакомый брендинг, который выглядит как подлинное электронное письмо. Emotet может попытаться убедить пользователей щелкнуть вредоносные файлы, используя соблазнительные выражения о «вашем счете», «платежных реквизитах» или, возможно, о предстоящей доставке от известных компаний по доставке. Emotet прошел несколько итераций. Ранние версии поступали в виде вредоносного файла JavaScript. В более поздних версиях использовались документы с поддержкой макросов для извлечения полезной нагрузки вируса с серверов управления и контроля (C&C), запускаемых злоумышленниками. Emotet использует ряд уловок, чтобы предотвратить обнаружение и анализ. Примечательно, что Emotet знает, работает ли он внутри виртуальной машины (ВМ), и будет бездействовать, если обнаружит среду песочницы, которая является инструментом, который исследователи кибербезопасности используют для наблюдения за вредоносными программами в безопасном контролируемом пространстве. Emotet также использует C&C серверы для получения обновлений. Это работает так же, как и обновления операционной системы на вашем ПК, и может происходить плавно и без каких-либо внешних признаков. Это позволяет злоумышленникам устанавливать обновленные версии программного обеспечения, устанавливать дополнительные вредоносные программы, такие как другие банковские трояны, или действовать в качестве свалки для украденной информации, такой как финансовые учетные данные, имена пользователей и пароли, а также адреса электронной почты.
[B]Как распространяется Emotet? [/B]Основной метод распространения Emotet - вредоносный спам. Emotet просматривает ваш список контактов и отправляет его вашим друзьям, семье, коллегам и клиентам. Поскольку эти электронные письма поступают из вашей взломанной учетной записи электронной почты, электронные письма меньше похожи на спам, а получатели, чувствуя себя в безопасности, более склонны переходить по неправильным URL-адресам и загружать зараженные файлы. Если подключенная сеть присутствует, Emotet распространяется с использованием списка общих паролей, угадывая путь к другим подключенным системам в результате атаки грубой силы. Если пароль для важнейшего сервера отдела кадров - это просто «password», то, скорее всего, Emotet найдет там свой путь. Первоначально исследователи думали, что Emotet также распространяется с использованием уязвимостей EternalBlue / DoublePulsar, которые были ответственны за атаки WannaCry и NotPetya. Теперь мы знаем, что это не так. К такому выводу исследователей привел тот факт, что TrickBot, троянец, часто распространяемый Emotet, использует эксплойт EternalBlue для распространения по заданной сети. Это был TrickBot, а не Emotet, который воспользовался уязвимостями EternalBlue / DoublePulsar.
[B]Какова история Emotet?[/B] Впервые обнаруженный в 2014 году, Emotet продолжает заражать системы и причинять вред пользователям по сей день, поэтому мы до сих пор говорим об этом, в отличие от других тенденций 2014 года . Первая версия Emotet была разработана для кражи данных банковских счетов путем перехвата интернет-трафика. Вскоре после этого была обнаружена новая версия программного обеспечения. Эта версия, получившая название Emotet version 2, поставлялась с несколькими модулями, включая систему денежных переводов, модуль против спама и банковский модуль, предназначенный для немецких и австрийских банков. К январю 2015 года на сцене появилась новая версия Emotet. Третья версия содержала скрытые модификации, предназначенные для того, чтобы вредоносная программа оставалась незамеченной, и добавляла новые цели для швейцарских банков. Перенесемся в 2018 год - новые версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие трояны и программы-вымогатели. По данным Gizmodo, в июле 2019 года атака Emotet в Лейк-Сити, штат Флорида, обошлась городу в 460000 долларов в виде выплаты вымогателей. Анализ атаки показал, что Emotet служил только первоначальным вектором заражения. После заражения Emotet загрузил еще один банковский троян, известный как TrickBot и программу-вымогатель Ryuk. После относительно тихой работы на протяжении большей части 2019 года Emotet снова стал сильным. В сентябре 2019 года Malwarebytes Labs сообщила о спам-кампании, организованной ботнетами, нацеленной на жертв из Германии, Польши, Италии и Англии, с искусно сформулированными темами, такими как «Уведомление о переводе платежей» и «Просроченный счет». Открытие зараженного документа Microsoft Word запускает макрос, который, в свою очередь, загружает Emotet со взломанных сайтов WordPress.
«Текущие версии троянца Emotet включают возможность установки других вредоносных программ на зараженные машины. Это вредоносное ПО может включать в себя другие банковские трояны или службы доставки вредоносного спама »
[B]На кого нацелен Emotet?[/B] Каждый является целью Emotet. На сегодняшний день Emotet атакует частных лиц, компании и государственные учреждения в Соединенных Штатах и Европе, похищая банковские логины, финансовые данные и даже биткойн-кошельки. Одна заслуживающая внимания атака Emotet на город Аллентаун, штат Пенсильвания, потребовала прямой помощи от группы реагирования на инциденты Microsoft для очистки и, как сообщается, стоила городу более 1 миллиона долларов для устранения. Теперь, когда Emotet используется для загрузки и доставки других банковских троянцев, список целей потенциально еще шире. Ранние версии Emotet использовались для атак на клиентов банков в Германии. Более поздние версии Emotet были нацелены на организации в Канаде, Великобритании и США.
[B] Как я могу защитить себя от Emotet?[/B] Вы уже делаете первый шаг к защите себя и своих пользователей от Emotet, узнав, как работает Emotet. Вот несколько шагов, которые вы можете предпринять: Держите компьютер / конечные точки в актуальном состоянии с помощью последних исправлений для Microsoft Windows. TrickBot часто поставляется в качестве полезной нагрузки Emotet, и мы знаем, что TrickBot полагается на уязвимость Windows EternalBlue для выполнения своей работы, поэтому исправляйте эту уязвимость, прежде чем киберпреступники смогут ею воспользоваться. Не загружайте подозрительные вложения и не переходите по сомнительным ссылкам. Emotet не сможет закрепиться в вашей системе или сети, если вы будете избегать этих подозрительных писем. Найдите время, чтобы обучить своих пользователей тому, как определять вредоносный спам. Обучите себя и своих пользователей созданию надежного пароля. Вы можете защитить себя и своих пользователей от Emotet с помощью надежной программы кибербезопасности, которая включает многоуровневую защиту.
https://www.malwarebytes.com/emotet/
--------------
пример работы Emotet
https://app.any.run/tasks/b8e10aa1-e3d9-4f6f-86fc-e428c9359537
Анализ Emotet:
[URL=https://blog.malwarebytes.com/threat-analysis/2018/05/malware-analysis-decoding-emotet-part-1/]Malware analysis: decoding Emotet, part 1 [/URL]
[URL=https://blog.malwarebytes.com/threat-analysis/2018/06/malware-analysis-decoding-emotet-part-2/]Malware analysis: decoding Emotet, part 2 [/URL]
