2019年10月31日
EMOTET病毒在歐洲出現多起攻擊事件

威脅資訊

Emotet是一隻銀行惡意病毒,最早出現於2014年。它會試圖感染其他電腦並且竊取敏感資訊。 該惡意程式主要是透過垃圾與釣魚信件中的附件及內嵌惡意連結作為傳播感染方式。除了具備了蠕蟲的特性可擴散至其他電腦之外,還能存取被害者電腦中的通訊錄並將惡意程式發送到通訊錄中的其他收件人。

觀察最近的惡意垃圾郵件相關活動的案例中可發現,這些電子郵件通常會使用財務相關的主題,並且會偽造匯款通知、發票附件或付款明細來答覆先前的交易。同時,它還會利用PowerShell與巨集,誘使用戶打開附件檔案以執行巨集並觸發PowerShell命令,該命令會嘗試從受感染的站點下載Emotet病毒。

Emotet可以針對使用WordPress所架設的合法網站中上傳任意檔案的漏洞進行攻擊,由於這些伺服器或程式碼不會檢查mime類型的檔案,攻擊者上傳後門腳本後便可以直接存取該網站上的上傳資料夾。此外,近來Emotet還開始向其他駭客組織提供Malware-as-a-Service(MaaS)服務,向外出租這些受Emotet感染的電腦,以便再透過其他類型的惡意軟件(例如Trickbot Trojan和Ryuk Ransomware)進行感染及擴散。

惡意行為分析

  • 將這些受到Emotet感染的電腦出租給其他駭客組織以植入更具破壞性的惡意病毒,例如Ryuk勒索病毒。
  • Trickbot具有攻擊EternalBlue 或EternalRomance (如同 wannacry/notpetya)弱點的行為
  • 竊取電腦中的敏感資料,電腦名稱,本機操作系統版本與運行中的程式。
  • 竊取用戶憑證,財務和銀行資訊。
  • 竊取電子郵件用戶端的用戶名稱與密碼。
  • 執行來自遠端的後門指令,並連接到後端惡意網站以發送和接收信息。

感染途徑

影響

  • 危害系統安全性-具備執行惡意程式碼的後門程式。
  • 違反使用者隱私-收集並竊取各種應用程式的用戶憑證。

解決方案(偵測名稱)

建議

  • 更新EternalBlue 及 EternalRomance 弱點的修補程式
  • 開啟行為監控以及機器學習功能以偵測變種病毒
  • 使用雲端病毒碼(SmartScan pattern)並開啟可疑連線功能(Suspicious Connection Service)
  • 目前仍無法更新修補程式的電腦請務必透過虛擬補丁進行防護,例如DeepSecurity或是Apex One iVP或是Tipping Point IPS

威脅報告

Trend Micro Threat Encyclopedia: TSPY_EMOTET
Trend Micro Threat Encyclopedia: TSPY_EMOTET.AUSJLA
Trend Micro Threat Encyclopedia: TSPY_EMOTET.SMD3
Trend Micro Threat Encyclopedia: TSPY_EMOTET.AUSJKW
Trend Micro Threat Encyclopedia: TSPY_EMOTET.AUSJKV
Trend Micro Threat Encyclopedia: TrojanSpy.Win32.EMOTET.TIABOFCY
Trend Micro Threat Encyclopedia: Trojan.W97M.POWLOAD.THIAHAI
Trend Micro Threat Encyclopedia: Trojan.W97M.POWLOAD.TIOIBEFV

趨勢科技部落格相關文章

Emotet adds new evasion techniques and uses connected devices as proxy servers
Emotet distributed ransomware loader for nozelesn found via manage detection and response
Ursnif Emotet and Dridex and Bitpaymer gangs links by a similar loader
Exploring Emotet examining Emotet activities infrastructure
New Emote hijacks Windows API evades sandbox analysis
Emotet returns start spreading via spam botnet

[趨勢科技技術支援聯絡方式]



此郵件是由使用 Oracle Responsys 的 Trend Micro B2B 傳送。
隨時安全取消訂閱電子郵件 Trend Micro B2B。
檢視我們的許可行銷政策。