美国联合技术警报警告自我传播特洛伊木马
国土安全部(DHS)警告说,通过将各种特洛伊木马丢给受损设备的恶意软件程序正在不断发展。
情绪是自2014年以来一直存在的特洛伊木马,在获得设备访问后,通常通过包含有效载荷的网络钓鱼电子邮件部署了几个恶意模块。
然后,恶意软件使用旨在窃取信息并使用受感染机器进行分布式拒绝服务(DDOS)攻击的各种技术在网络上传播。
其中包括诸如NetPass.exe,WebBrowserPassview,Mail Pbeplay体育能用吗assView,Outlook Scraper和凭证枚举器之类的模块,这些模块可以使Emotet迅速传播,并在未检测到的情况下逃避多个安全功能。
根据网络安全公司Symantec的说法,也有报道称勒索软件被情绪累累使用。
“ trojan.emotet的主要组件充当加载程序,理论上可以支持任何有效负载。虽然它仍然主要以分发银行特洛伊木马的分配而闻名,但理论上可以传播任何威胁,并且已经有报道称赎金。最近的博客文章。
“它带来了威胁,使它们混淆以减少检测的机会,并提供了一个散布器模块,使威胁可以自我传播。”
人们主要发现情感是针对德国和瑞士的银行客户,但最近新罕布什尔州朴次茅斯市的计算机网络成为该计划永存的袭击的受害者,造成了156,000美元的损失。
Symantec说,据说网络犯罪集团Meallybug现在似乎正在将恶意软件计划分发给其他威胁参与者,作为定制服务。
DHS,发布联合技术警报周五,随着国家网络安全和通信整合中心(NCCIC)的说法,迄今为止,涉及情感的每件事都有成本状态,地方,部落和领土(SLTT)政府,迄今为止的恢复最高可达100万美元。
它对动态链接库(DLL)的使用使其特别危险,因为这允许恶意软件更新其功能。
DHS说:“情感伪像通常在位于任意路径中发现AppData \ local和AppData \漫游目录。工件通常模仿已知可执行文件的名称。持久性通常是通过计划的任务或注册表密钥维护的。
“此外,Emotet还会在系统根目录中创建随机命名的文件,该文件作为Windows服务运行。执行后,这些服务试图通过可访问的管理共享将恶意软件传播到相邻系统。”
Symantec和DHS都有建议的做法来减轻与情绪相关的风险,包括自动更新签名和软件的防病毒程序,设置Windows防火墙规则以限制客户端系统之间的入站SMB通信,并使用电子邮件网关过滤出可疑的电子邮件。
如果您的组织已被感染,请立即将受感染的机器从网络上取下,并且不尝试任何登录。
有关的:在险恶南美洲的银行黑客的踪迹上
