You are here
Home > Novosti > [VAŽNO UPOZORENJE] EMOTET SE ŠIRI ELEKTRONIČKOM POŠTOM!

[VAŽNO UPOZORENJE] EMOTET SE ŠIRI ELEKTRONIČKOM POŠTOM!

Izvor: CERT.hr

DODATAK 22.12.2020.

Nacionalni CERT ponovno je otkrio širenje zlonamjernog sadržaja Emotet. Posljednji val koji je počeo jučer popodne (21.12.2020.) uz stari način širenja (lozinkom zaštićena ZIP datoteku čija se lozinka nalazi u samom tekstu e-poruke) sada se širi u običnim porukama elektroničke pošte sa zlonamjernim privitkom koji sadrži macro naredbe. Sadržaj poruke e-pošte povezan je s pandemijom COVID-19. Između ostalog, Nacionalni CERT otkrio je kako se ciljaju i @skole.hr korisnički računi.

Izvorna vijest:

U posljednjih par dana zaprimili smo veliki broj prijava vezanih za Emotet zlonamjerni sadržaj.

 

U trenutnoj inačici zlonamjerni sadržaj se širi na način da “odgovara” na razgovore e-pošte već zaraženih računala. Treba uzeti u obzir da se same e-poruke ne šalju s računala s kojeg su razgovori e-pošte ukradeni nego nekog drugog računala koje je dio botnet mreže.

 

Takve zlonamjerne e-poruke sadrže lozinkom zaštićenu ZIP datoteku čija se lozinka nalazi u samom tekstu e-poruke (na taj način napadači pokušavaju zaobići neke od sigurnosnih zaštita). U ZIP datoteci se nalazi Word dokument koji sadrži zlonamjernim macro naredbu koja služi za preuzimanje i pokretanje dodatnog zlonamjernog sadržaja.

 

Primijetili smo veliki broj različitih tekstova u samim phishing e-porukama. Ovdje se nalaze primjeri nekih tema koje se spominju:
 
 
Naknada troškova prijevoza
Smjernice za rad školskih knjižnica za vrijeme trajanja COVID-19 pandemije
Natjecanje iz geografije
Županijska smotra Lidrano
Javni poziv za iskaz interesa (kod ovakvog primjera maila pošiljatelj se obično predstavlja kao pojedina županija)
Sretan i blagoslovljen Uskrs
Sastanak s ministrom
Potvrda za zaposlenje dodatnih čistačica
Stručno usavršavanje

Shema cijelog tijeka napada se nalazi na slici ispod:

 

 

Postoji mogućnost da ćete primiti e-poruku koja djeluje kao odgovor na neku poruku koji ste poslali u prethodnom razdoblju, a da ona sadrži zlonamjerni privitak te tekst u kojem se navodi lozinka za ZIP datoteku kao nastavak na citirani tekst.

 

Nacionalni CERT radi na obradi podataka te ćemo što prije obavijesti korisnike (odnosno nama dostupne kontakte za pojedine IP adrese) za koje imamo podatak da su komunicirali s kontrolnim poslužiteljima (što je prilično siguran indikator kompromitacije) ili su preuzmali zlonamjerni sadržaj (ovo ne mora nužno rezultirati s kompromitacijom. Na primjer, antivirusni software zaustavi pokretanje zlonamjernog sadržaja nakog preuzimanja).

 

Što možete učiniti:

 

Računalo možete provjeriti nekim od antivirusnih alata ili specijaliziranim EmoCheck alatom.

 

Ako su alati otkrili zarazu Emotetom potrebno je i provjeriti ostala računala u mreži jer postoji mogućnost lateralnog širenja.

 

Na poveznici ispod se nalazi alat za provjeru/detekciju zaraze Emotetom razvijen od strane JPCERT/CC. Alat je testiran na uzorcima malwera koji smo zaprimili u prijava te se pokazao učikovitim.

 

https://github.com/JPCERTCC/EmoCheck

 

Poveznica za preuzimanje 32-bitne i 64-bitne verzije alata.

 

https://github.com/JPCERTCC/EmoCheck/releases

 

EmoCheck ispis na računalu koje je zaraženo Emotetom:

 

 

EmoCheck ispis na računalu koje nije zaraženo Emotetom:

 

 

Ako imate tehničku mogućnost da blokirate komunikaciju iz vaše mreže s određenim IP adresama, u ovom slučaju adresama kontrolnih poslužitelja (C&C, C2, Command and Controls servers), popis poznatih Emotet c2 poslužitelja (Dridex, Heodo, TrickBot) imate na poveznici ispod (u različitim formatima):

 

https://feodotracker.abuse.ch/blocklist/

 

Ako EmoCheck detektira zarazu – potrebno je putem Task Managera okončati navedeni proces, isključiti računalo iz mreže te antivirusnim alatom očistiti računalo. Uz to, potrebno je izmijeniti lozinke pohranjene u web preglednicima i klijentima e-pošte. Očišćena računala ne treba spajati nazad na mrežu sve dok se ostala računala ne provjere, odnosno očiste, zbog mogućnosti ponovne zaraze. Također, preporučujemo nadogradnju operacijskih sustava na računalima jer Emotet iskorištava ranjivosti kao što je primjerice EternalBlue (ista ranjivost koju je koristio WannaCry) za lateralno širenje unutar mreže.
Top
More in Novosti
CERT.hr Preporuke – prelazak na novu uslugu

Obavještavamo Vas da 15. siječnja 2021. godine gasimo postojeću uslugu slanja preporuka koju ste do sada koristili, a kojoj ste...

Close