EMOTET kártevő új variánsa

CH azonosító

Angol cím

Felfedezés dátuma

Súlyosság

Érintett rendszerek

Érintett verziók

Microsoft Windows

Összefoglaló

Az EMOTET trójai első ízben 2014-ben jelent meg [1], azonban a kártevő azóta is folyamatosan jelen van és már több variánsát – pl.: TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, SPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV – figyelték meg.

Leírás

Az EMOTET első variánsa elsősorban banki adatok megszerzésére irányult, az újabb verziók azonban az adatok jóval szélesebb körét célozzák, ennek megfelelően a bankok mellett már a gyártás, az élelmiszeripar és az egészségügyi szektor is a céltáblára került.

Ezen kívül az is különbséget jelent, hogy az új változatok többféle módon is terjedhetnek: 

• Spam üzenetek útján.
• A fertőzött hálózaton képes továbbterejdni az adott domain-beli felhasználói fiókok – próbálgatás-alapú – feltörésével. 
• A szervezeten belüli továbbterjedéshez igyekszik kontakt információkat felderíteni és azok felé terjeszkedni, kihasználva, hogy megbízható domain-ből küldheti az üzeneteket.

Tevékenysége:

Elsősorban a spam üzenetek szövegtörzsében található hiperhivatkozásról letöltődő dokumentumba ágyazott makróval terjed, azaz a felhasználó részéről szükséges az interakció. 

Amennyiben sikerül rendszergazdai jogosultságot szereznie, a Windows-rendszerkönyvtárt használja:

%System%{string 1}{string 2}.exe

Amennyiben nem, az AppData könyvtárt használja:

%AppDataLocal%MicrosoftWindows{string 1}{string 2}.exe

Registry bejegyzéseket hoz létre, valamint rendszerfolyamatként regisztrálja magát.

A malware tevékenysége során a vezérlőszervereivel weben keresztül kommunikál, valamint további káros komponenseket/modulokat tölthet le, úgy, mint:

• Spam küldő modul
• Hálózati féreg modul
• E-mail jelszó törő modul
• Böngésző jelszó törő modul

Emellett letöltheti a DRIDEX [2] banki trójait is.

Ismert indikátorok:

C&C IP címek:

• 104.130.204.251
• 178.62.253.139
• 186.103.199.252
• 84.200.208.98
• 178.62.39.238
• 69.45.19.251
• 189.51.144.3
• 220.227.247.39
• 91.121.45.118
• 92.51.161.43
• 198.20.243.145
• 37.128.129.88
• 5.196.161.148
• 65.44.220.49
• 149.202.153.252
• 82.131.166.44
• 195.154.58.200
• 212.5.159.61
• 220.227.247.35
• 142.4.9.146
• 49.212.135.76
• 87.106.247.42
• 85.214.219.12
• 85.214.47.64
• 62.210.81.18
• 74.208.201.171
• 79.172.249.82
• 80.82.115.164|4143
• 186.103.199.252|4143
• 71.244.60.231|4143
• 84.200.208.98
• 193.169.54.12|8080

Hash-ek:

MD5

• b2d19fe982f3ad2bf1d0785680f940bf
• e0d7cccb07bd2939618c6073f390f341
• 37dd0dabcf6d92e4702caf187a61292e

SHA256

• 11350c8eb996fc0b7684e69fd1fe2aed67efecd9be8958f68b0c504a5893336d
• 12fd60ee0fea37813ae68a96d4a70810cb83b37017922916e8b0ee516a8e9928
• 6e902a3dc5bed7b4f1f98d2720ca762f51fe202ee20fb52e9777f57e3a0b404b

Domain nevek:

• vidrieriadiamante.com
• fincasescarritxo.com
• dobrolyubov-museum.ru

Megoldás

• Használjon naprakész antivirus szoftvert.
• Telepítse az operációs rendszer biztonsági frissítéseit.
• Tiltsa a makrókat a Microsoft Office termékekben.
• Figyeljen a gyanús levelekre, akkor is, ha az egy, a szervezetéhez tartozó e-mail címről érkezett.

Támadás típusa

Hatás

Szükséges hozzáférés

Hivatkozások

Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: tech.cert-hungary.hu
Egyéb referencia: blog.trendmicro.com
Egyéb referencia: success.trendmicro.com