Ebből baj lehet: éledezik a hírhedt szemetelő trójai

​Február óta nem lehetett hallani arról a kártékony programról, amely korábban a globális levélszemét egy jelentős részének terjesztéséért volt felelőssé tehető. Sajnos azonban az elmúlt napokban megváltozott a helyzet.
 

Az Emotet az elmúlt években már rengeteg kárt és bosszúságot okozott. Elsősorban azzal vált ismertté, hogy kéretlen elektronikus leveleket küldözgetett nagy mennyiségben. Ezek között nem kizárólag reklámcélú küldemények voltak, hanem olyanok is, amelyek további kártékony kódokat, vírusokat hordoztak. A károkozó a nemkívánatos ténykedését követően idén februárban jelentősen veszített erejéből, és azóta nem is hallatott magáról. Sajnos az elmúlt napokban ismét mozgolódást lehetett megfigyelni az Emotet kapcsán, ami nagyon aggasztó hír. Ha ugyanis a kártevő ismét nekilát a számítógépek tömeges fertőzésének, akkor annak komoly következményei lehetnek.
 
Az Emotet legújabb variánsát a Binary Defense biztonsági kutatói vették szemügyre, akik egyrészt a károkozó által elvégzett műveleteket elemezték, másrészt igyekeztek feltárni a trójai terjedési ütemét.
 
A legújabb Emotet alapvetően követi az elődjei által kitaposott utat. Ennek megfelelően olyan kéretlen leveleket küldözget, amelyek egyebek mellett mondvacsinált szállításokkal, fizetésekkel, számlákkal kapcsolatosak.
 
A levelek sok esetben ismert cégek nevében érkeznek, hamisított feladóval. A csatolmányukban pedig egy-egy Word dokumentum kap helyet. E dokumentumok érdekessége, hogy a felhasználót egy teljesen alaptalan üzenettel próbálják rávenni arra, hogy engedélyezze a szerkesztési és makrófuttatási lehetőségeket. A dokumentumokban az áll, hogy azok IOS-alapú eszközzel készültek, ezért a megtekintésükhöz engedélyezni kell a szerkesztést. Természetesen ez az üzenet csakis megtévesztési célokat szolgál.


Forrás: Binary Defense
 
Amennyiben a felhasználó bedől a trükknek, akkor a trójai PowerShell scriptek segítségével letölti a károkozásaihoz szükséges kódokat. Mindezt meghackelt, WordPress-alapú weboldalakon keresztül teszi meg. Ezt követően a regisztrációs adatbázis módosításával gondoskodik arról, hogy a Windows újraindítása után automatikusan betöltődhessen.
 
A trójai jelenlegi variánsának legfontosabb fájlja a következő helyre kerül:
%UserProfile%\AppData\Local\dwmapi\certmgr.exe.
 
Biztonsági szakértők szerint az Emotet olyan modulokat is beszerez, amelyek alkalmassá teszik adatlopásra, spamelésre és további számítógépek megfertőzésére. Ezért a szakemberek többrétegű védelem kialakítását javasolják, miközben a felhasználók biztonságtudatosságának fontosságát is kiemelik.
Vélemények
 
  1. 3

    Az Oracle VirtualBoxhoz hét biztonsági hibajavítás vált elérhetővé.

  2. 4

    Az Adobe kritikus veszélyességű hibákat javított az Adobe Illustrator szoftverében.

  3. 1

    A Rozena.XM trójai kártékony programokkal halmozza el a fertőzött számítógépeket.

 
Partnerhírek
Androidon terjedő kémprogramot fedeztek fel az ESET kutatói

Egy androidos kémprogram új verzióját kezdték vizsgálni az ESET kutatói, amely mögött az APT-C-23 nevű, 2017 óta főként a Közel-Keleten aktív, hírhedten veszélyes bűnözői csoport áll.

​Az ESET egy globális művelet keretében harcol a Trickbot ellen

Az ESET kutatói is részt vesznek abban a globális összefogásban, amelynek célja a Trickbot megállítása, amely 2016-os működése óta több mint egymillió számítógépet fertőzött meg.

hirdetés
Közösség