به گزارش حوزه دنیای ارتباطات گروه فضای مجازی باشگاه خبرنگاران جوان، به نقل از وبسایت BleepingComputer، این تروجان از این ماکروها به منظور کپی کردن پیلود اصلی خود در فایلهای XML ساخته شده، مانند اسناد word، استفاده میکند.
تروجان Emotet (که به نامهای Geodo یا Heodo نیز شناخته میشود) یک تروجان ماژولار است که توسط گروه Mealybug توسعه داده شده است و توسط هکرها برای آلوده کردن اهداف قربانی، از طریق spam ایمیل، و به منظور دزدیدن اطلاعات مالی مانند اطلاعات ورود به حساب بانک یا کیف ارز دیجیتالی (cryptocurrency) استفاده میشود.پ
این تروجان همچنین امکان ربودن اطلاعات و دادههای حساس، کلمات ورود و اطلاعات شناسایی شخصی را دارد که این موارد منجر به سرقت هویت یک کاربر میشود. این تروجان همچنین طراحی شده است که به عنوان یک کانال حامل برای تروجانهای بانکی دیگر یا برای سرقت اطلاعات و باتهای ماژولار خاص مانند Trickbot عمل کند. گروه امنیتی Menlo یک نوع جدید از تروجان Emotet شناسایی کرده که از اواسط ماه ژانویه در حال فعالیت است که سطح تشخیص ضد ویروس را، بواسطه آلودگی اولیه ماکرو VBA، حداقل میکند.
تیم امنیت Menlo، دو نوع از این بدافزار را، که تا اواسط ماه ژانویه منتشر شده است، رصد کردهاند. نوع اول، که ۸۰ درصد از نمونهها را در بر میگیرد، یک فایل XML است که هدر استاندارد XML به اضافه فرمت نمونه فایلهای XML مستندات word ماکروسافت را دارد. این نوع از این بدافزار، همچنین حامل داده کدگذاری شده شامل یک کد ماکرو VBA مخفی شده و به صورت فشرده نیز هست. این فایل مخرب به صورت .doc خود را نامگذاری میکند. نوع دوم از این بدافزار، که ۲۰ درصد بقیه نمونههای تشخیص داده شده از این بدافزار را شامل میشود، به صورت فایل استاندارد word است که شامل کد مخرب ماکرو نیز میشود.
روند آلودگی بوسیله این بدافزار کاملا پیچیده است و از یک ساختار سلسله مراتبی پیروی میکند. اسکریپت اولیه بدافزار فرایندهای چندگانه ایجاد میکند که منجر به شروع به کار یک اسکریپت powershell میشود این اسکریپت powershell پیلود Emotet را در پوشه TEMP دستگاه آلوده شده، بارگذاری میکند.
به محض اینکه این تروجان یک میزبان را آلوده میکند، شروع به اتصال به یک سری از URLهای لیست شده (که احتمالا سرورهای کنترل و فرمان (C&C) مهاجم است) میکند. این روند اتصال به صورت حلقههای پیدر پی هستند و بعد از موفقیت، اتصال قطع میشود.
بدافزار Emotet در واقع یک تروجان بانکی چندریختی است که میتواند از شناسایی شدن بوسیله روشهای معمول مبتنی بر امضا خود را مخفی کند. این بدافزار روشهای متعددی برای حفظ خود و کسب پایداری در دستگاه میزبان دارد، از جمله این روشها استفاده از سرویسها و کلیدهای ریجیستری auto –start است. این تروجان از DLLهای ماژولار برای تکامل دائمی خود و بروزرسانی تواناییهایش استفاده میکند. علاوه بر این، این تروجان میتواند ماشین مجازی بودن میزبان را تشخیص میدهد و اگر در ماشینهای مجازی اجرا شود میتواند شاخصهای اشتباه تولید کند.
نشانههای آلودگی (IoC):
دامنهها:
• www[.]ploeger[.]ru
• id۱۴[.]good-gid[.]ru
• zobzarrinco[.]ir
• aziendaagricolamazzola[.]it
• dmoving[.]co[.]il
• expoluxo[.]com
• kamdhenu[.]technoexam[.]com
• ldztmdy[.]cf
• mstudija[.]lt
• puntodeencuentrove[.]com
• somov-igor[.]ru
• www[.]purifiq[.]co[.]za
• www[.]topstick[.]co[.]kr
URLها:
• hxxp://stoutarc[.]com/JbCOGyE
• hxxp://www.modern-autoparts[.]com/ezFUGpI
• hxxp://antigua.aguilarnoticias[.]com/LNOGFuYx
• hxxp://uicphipsi[.]com/۴d۲۰qS_izTLi۷wu۱_uuk
• hxxp://vuonnhatrong[.]com/FSrJps_iKqwbRFjH
• hxxp://themissfitlife[.]com/۵wn_YAsyS۰M
• hxxp://evoqueart[.]com/Wk۰MdRvGzW
• hxxp://leptokurtosis[.]com/wmK۵XminG
• hxxp://mimiabner[.]com/tvprRKdT
هشها:
• ۷c۵cdc۵b۷۳۸f۵d۷b۴۰۱۴۰f۲cc۰a۷۳db۶۱۸۴۵b۴۵cbc۲a۲۹۷bee۲d۹۵۰۶۵۷cab۶۵۸
• ۳۷a۰۰۰cd۹۷۲۳۳۰۷۶cd۳۱۵۰c۴dbde۱۱d۳d۳۱۲۳۷۹۰۶b۵۵۸۶۶b۷۵۰۳fdc۳۸cd۱de۰۸
نام فایلها:
• Untitled_attachment_۲۲۰۱۲۰۱۹.doc
• ۲۰۵۰۸۲۲۰۴۴۸۲۸۴۵۳.doc
• ATT۲۴۶۹۵۲۸۴۵۶۲۷۸۷۶۹۶۵۳.doc
• PAY۱۹۹۴۷۲۷۰۲۷۱۶۵۹۹.doc
ایمیلهای مبدا:
• altopro[.]com[.]mx
• bir[.]gov[.]ph
• cafemarino[.]com[.]mx
• daawat[.]com[.]pk
• ecop[.]org[.]ph
• iata[.]org
• insular[.]com[.]ph
• insurance[.]gov[.]ph
• lbstation[.]co[.]uk
• phil-union[.]com
• rubiconeng[.]com
• telkomsa[.]net
• thielenhaus[.]cn
• trmdemexico[.]com
• wbf[.]ph
نوع MIME ایمیل:
• application/xml به همراه پسوند doc.
انتهای پیام/