EMOTET kártevő új variánsa

CH azonosító

CH-14375

Angol cím

New variant of EMOTET malware

Felfedezés dátuma

2018.02.26.

Súlyosság

Közepes

Érintett rendszerek

Microsoft
Windows

Érintett verziók

Microsoft Windows

Összefoglaló

Az EMOTET trójai első ízben 2014-ben jelent meg [1], azonban a kártevő azóta is folyamatosan jelen van és már több variánsát – pl.: TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, SPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV – figyelték meg.

Leírás

Az EMOTET első variánsa elsősorban banki adatok megszerzésére irányult, az újabb verziók azonban az adatok jóval szélesebb körét célozzák, ennek megfelelően a bankok mellett már a gyártás, az élelmiszeripar és az egészségügyi szektor is a céltáblára került. Ezen kívül az is különbséget jelent, hogy az új változatok többféle módon is terjedhetnek: 
  • Spam üzenetek útján.
  • A fertőzött hálózaton képes továbbterejdni az adott domain-beli felhasználói fiókok – próbálgatás-alapú – feltörésével. 
  • A szervezeten belüli továbbterjedéshez igyekszik kontakt információkat felderíteni és azok felé terjeszkedni, kihasználva, hogy megbízható domain-ből küldheti az üzeneteket.
Tevékenysége: Elsősorban a spam üzenetek szövegtörzsében található hiperhivatkozásról letöltődő dokumentumba ágyazott makróval terjed, azaz a felhasználó részéről szükséges az interakció.  Amennyiben sikerül rendszergazdai jogosultságot szereznie, a Windows-rendszerkönyvtárt használja: %System%{string 1}{string 2}.exe Amennyiben nem, az AppData könyvtárt használja: %AppDataLocal%MicrosoftWindows{string 1}{string 2}.exe Registry bejegyzéseket hoz létre, valamint rendszerfolyamatként regisztrálja magát. A malware tevékenysége során a vezérlőszervereivel weben keresztül kommunikál, valamint további káros komponenseket/modulokat tölthet le, úgy, mint:
  • Spam küldő modul
  • Hálózati féreg modul
  • E-mail jelszó törő modul
  • Böngésző jelszó törő modul
Emellett letöltheti a DRIDEX [2] banki trójait is. Ismert indikátorok: C&C IP címek:
  • 104.130.204.251
  • 178.62.253.139
  • 186.103.199.252
  • 84.200.208.98
  • 178.62.39.238
  • 69.45.19.251
  • 189.51.144.3
  • 220.227.247.39
  • 91.121.45.118
  • 92.51.161.43
  • 198.20.243.145
  • 37.128.129.88
  • 5.196.161.148
  • 65.44.220.49
  • 149.202.153.252
  • 82.131.166.44
  • 195.154.58.200
  • 212.5.159.61
  • 220.227.247.35
  • 142.4.9.146
  • 49.212.135.76
  • 87.106.247.42
  • 85.214.219.12
  • 85.214.47.64
  • 62.210.81.18
  • 74.208.201.171
  • 79.172.249.82
  • 80.82.115.164|4143
  • 186.103.199.252|4143
  • 71.244.60.231|4143
  • 84.200.208.98
  • 193.169.54.12|8080
Hash-ek: MD5
  • b2d19fe982f3ad2bf1d0785680f940bf
  • e0d7cccb07bd2939618c6073f390f341
  • 37dd0dabcf6d92e4702caf187a61292e
SHA256
  • 11350c8eb996fc0b7684e69fd1fe2aed67efecd9be8958f68b0c504a5893336d
  • 12fd60ee0fea37813ae68a96d4a70810cb83b37017922916e8b0ee516a8e9928
  • 6e902a3dc5bed7b4f1f98d2720ca762f51fe202ee20fb52e9777f57e3a0b404b
Domain nevek:
  • vidrieriadiamante.com
  • fincasescarritxo.com
  • dobrolyubov-museum.ru

Megoldás

  • Használjon naprakész antivirus szoftvert.
  • Telepítse az operációs rendszer biztonsági frissítéseit.
  • Tiltsa a makrókat a Microsoft Office termékekben.
  • Figyeljen a gyanús levelekre, akkor is, ha az egy, a szervezetéhez tartozó e-mail címről érkezett.