エモテット 説明
Emotetは5年ほど前に銀行のトロイの木馬として始まりましたが、それ以上になりました。最近では、世界で最も危険なボットネットおよびマルウェアドロッパーの1つになっています。攻撃を完全に収益化するために、Emotetは多くの場合、新しいバンキングトロイの木馬、電子メールハーベスタ、自己増殖メカニズム、情報窃盗、さらにはランサムウェアをドロップします。
セキュリティ研究者は、Emotetの背後にいる脅威アクターは、2019年6月から夏休みを取り、コマンドアンドコントロール(C2)アクティビティさえ停止することに注意しました。しかし、夏の数か月が終わりに近づき始めたため、セキュリティ研究者はEmotetのC2インフラストラクチャのアクティビティが増加していることに気付き始めました。 2019年9月16日の時点で、Emotetはソーシャルエンジニアリングに依存したスパムキャンペーンの再活性化をすでに開始しています。
Emotetは、スパムメールキャンペーンを誘致することにより、コンピューターユーザーをターゲットにしています
Emotetが被害者に感染した最も巧妙で恐ろしい方法の1つは、盗まれた電子メールコンテンツによるものでした。マルウェアは、被害者の受信トレイをスワイプし、既存の会話をコピーし、それを自身の電子メールで使用します。 Emotetは、通常Microsoft Word文書を装ってマルウェアに感染した添付ファイルを開かせるために、被害者の未読メールへの「返信」で実際のメッセージの本文を引用します。
進行中の会話への返信を期待している人が、この方法でだまされる可能性があることを確認するのに、多くの想像力は必要ありません。さらに、本物の電子メールの内容や件名ヘッダーを含む既存の電子メールの会話を模倣することにより、メッセージははるかにランダム化され、スパム対策システムによるフィルタリングが困難になります。
興味深いのは、Emotetがコンテンツを盗んだ電子メールを使用して、潜在的な被害者に送信しないことです。代わりに、解除された会話をネットワーク内の別のボットに送信し、その後、完全に独立した送信SMTPサーバーを使用して、完全に異なる場所からメールを送信します。
セキュリティ研究者によると、Emotetは、夏休み前の攻撃メッセージの約8.5%で盗まれた電子メールの会話を使用していました。ただし、休暇シーズンが終わりに近づいたため、この戦術はより顕著になり、Emotetの送信メールトラフィックのほぼ4分の1を占めています。
サイバー詐欺師はEmotetを利用して個人データを盗みます
コンピューターから個人情報を盗もうとするサイバー詐欺師が利用できるツールは、事実上無限です。 Emotetは、疑いを持たないコンピューターユーザーからデータを盗むように設計されたマルウェアを拡散する大量のスパムメールキャンペーンを開始する方法で非常に効果的なマルウェアの脅威です。 Emotetが機能する方法は、攻撃的なフィッシング手法を使用してコンピューターユーザーからデータを盗むように特別に設計されたDridexトロイの木馬など、他のリスクの高いコンピューターの脅威に対するバックドアを開くことです。
正しいタイプのハッカーやサイバー詐欺師が使用する場合、Emotetはコンピューターに侵入して複数のマルウェアの脅威をロードおよびインストールする方法で使用される可能性があります。それでも、追加でインストールされた脅威は、コマンド&コントロール(C&C)サーバーに接続して、感染したシステムで実行するための指示をダウンロードする可能性があるため、より危険です。
Emotetの効果を軽視しないでください
Emotetほど広範囲に及ぶマルウェアの脅威の場合、コンピューターユーザーは必要な予防措置を講じて、Emotetからの攻撃を防ぐ必要があります。反対に、Emotetに攻撃された人は、脅威を安全に検出して排除するために必要なリソースを見つけたいでしょう。 Emotetを長時間コンピューターで実行できるようにすると、データが盗まれるリスクが指数関数的に増加します。
Emotetの削除や適切な予防措置を遅らせる可能性のあるコンピューターユーザーは、PCに保存されている個人データを危険にさらし、個人情報の盗難などの深刻な問題につながる可能性があります。さらに、Emotetは検出が困難な脅威です。これは、主に更新されたマルウェア対策リソースまたはアプリケーションによって実行されるプロセスです。
コンピューターユーザーは、添付ファイル付きの電子メール、特にMicrosoft Word文書形式の添付ファイルを含む電子メールを開くときは常に注意する必要があります。これは、Emotetがマルウェアを拡散する方法として知られています。
Emotetの復活
2019年のある時点で、Emotetのコマンドアンドコントロールサーバーは、Emotetの背後にいる加害者の制御下に置かれることなく、脅威に感染したシステムをシャッターで閉じました。しかし、C&Cサーバーのシャットダウンから間もなく、Emotetは死から復活しました。ハッカーはEmotetを制御するだけでなく、正当なWebサイトを使用して、最初にサイトをハッキングすることでスパムキャンペーンを介して脅威を拡散しています。
Emotetの開発者は、30,000を超えるドメイン名のハッキングされた正当なサイトに属するドメインの多くについて、約66,000の電子メールアドレスをターゲットにしたと伝えられています。 Emotetの作成者によって攻撃された正当なサイトの一部は次のとおりです。
- biyunhui [。] com
- broadpeakdefense [。] com
- charosjewellery [。] co.uk
- customernoble [。] com
- holyurbanhotel [。] com
- keikomimura [。] com
- lecairtravels [。] com
- mutlukadinlarakademisi [。] com
- nautcoins [。] com
- taxolabs [。] com
- think1 [。] com
基本的に、時間の経過とともに確実にマルウェア感染が増加します。 Cisco Talosの研究者は次のように述べています。「脅威グループが沈黙すると、永久になくなることはほとんどありません」と詳述します。「むしろ、これは脅威グループが新しいIOC、戦術、技術、既存の検出を回避できる手順または新しいマルウェアの亜種。」
技術情報
スクリーンショット&その他のイメージ
ファイルシステムの詳細
| # | ファイル名 | サイズ | MD5 | 検出数 |
|---|---|---|---|---|
| 1 | %WINDIR%\syswow64\licensefwdr.exe\licensefwdr.exe | 131,072 | 3391006372b212ba0be34bf9cc47bb15 | 60 |
| 2 | c:\users\vtc\downloads\8e8cmlbo6fx_lxfm3xki.exe | 582,656 | 0d87835af614586f70e39e2dfdba1953 | 41 |
| 3 | %WINDIR%\system32\guidsdefine.exe\guidsdefine.exe | 231,424 | 8af726850d90d8897096429c8f677fb9 | 34 |
| 4 | c:\users\vtc\downloads\xppvz6oh.exe | 156,672 | e7a1127484bbd79f4de0460ee92836fb | 14 |
| 5 | c:\windows\syswow64\ni6tj3f0c.exe | 143,360 | 865eba9b4ee8e93f500232eae85899f9 | 14 |
| 6 | c:\users\vtc\downloads\fcuthenucs_qzfm9unm.exe | 230,400 | fc620fb26d06a3f15e97fa438e47b4e3 | 13 |
| 7 | c:\windows\syswow64\sw1bo.exe | 139,264 | 6957fc973e45d6362c9508297840332c | 13 |
| 8 | c:\users\vtc\downloads\hh_u6zt3e3q_vmytcj.exe | 239,616 | 0c12b6e792d5e395f1d0e8e00f2a906b | 9 |
| 9 | c:\users\vtc\downloads\8lqwejk6.exe | 159,744 | 9ab8c51587e3a46950576c545d917e5f | 8 |
| 10 | c:\windows\syswow64\guidsripple.exe | 143,360 | 954d6e95ef173331841a54b2bacbcd28 | 8 |
| 11 | c:\users\vtc\downloads\z7w2_qj.exe | 348,160 | 59dec5b309f882bd3b7b7f4db9de8810 | 7 |
| 12 | c:\windows\syswow64\ripplepolic.exe | 155,648 | d3fe0e7a94cf8a04435ecd85d1a85227 | 7 |
| 13 | c:\users\mark\211.exe | 139,264 | 831bbafd3a5596994e3e5407e86a6ab0 | 6 |
| 14 | c:\windows\syswow64\s9nevcf77pvpbcahes.exe | 139,264 | 9f6d496199d712df75fea0d4f65a774d | 6 |
| 15 | c:\users\vtc\downloads\9tadwtpw5estit.exe | 159,744 | b25ec6e225cf6247dcb3810470ae86b7 | 5 |
| 16 | C:\ProgramData\სკუმბრია.exe | 782,336 | 35c973fee6e0f6fd1c9486d25d041c83 | 5 |
| 17 | C:\ProgramData\ↇↂↂↂ自転車выпLXXX;ↇↂↂↂ;ЧыПبايسکل.exe | 548,864 | 9d7b1ffdd0d6e8e43032b16dabcb52b4 | 5 |
| 18 | c:\users\vtc\downloads\fu_nid7mlnsu.exe | 151,552 | fecc9b87f6adde022e2e7540469d9668 | 4 |
| 19 | c:\users\vtc\downloads\td5g1cst.exe | 223,232 | d42dbba27dc711e5b4a3f4bf83967049 | 4 |
| 20 | c:\users\vtc\downloads\cvedvfdyaj.exe | 232,960 | e60048bfaab06dcab844454c33ad5491 | 4 |
| 21 | c:\users\vtc\downloads\aizz7dugmz_ddw.exe | 241,152 | 149f8faf3bb1c3cbd1207c133715a480 | 2 |
| 22 | c:\users\vtc\downloads\h7kg8jsthbc.exe | 224,768 | c6c70da245a63f7ae7052ebac3fb76c6 | 2 |
| 23 | c:\users\vtc\downloads\troj_generic_ec086af0e56b97ea6b427f02f90def0897bb0fe578eed1d48bf33049e4c9d439.exe | 403,456 | 536d98819ef25d5452ef802d4541bb46 | 1 |
| 24 | c:\users\julius\downloads\bc117e6ae77ef72ad0131990943d7a8b3570f0eb9fbe9a7a41e7e43711e5f763.crdownload | 409,600 | 83e70065bf06162895e73ce43f4fdb19 | 1 |
| 25 | c:\users\julius\downloads\eb7f8d53312376570fbd1385b45d1ff3fab6faadfba6c3a3a6c9d30c5e31bb4d.crdownload | 339,968 | 1f4a1df52756bd6ea855b47f039836ee | 1 |
| 26 | c:\users\julius\downloads\1be6989616522d6ae9b3c301e5f51f0ac0313dfc8497958c616a307cd09657fc.crdownload | 339,968 | 991bd07e70c478affb777a3728942591 | 1 |
| 27 | c:\users\julius\downloads\aba5311be7e0dfbfefdd1f545a701b4e81c9ad8790af6f58f827e6b54f3454e5.crdownload | 409,600 | a4d00e6314149af840bbbf7a70bf1170 | 1 |
| 28 | c:\users\julius\downloads\a9a90901ee38e8a232e253f00b9fc9c0f0f58620ef6b7692e6dc7342a7317c1d.crdownload | 409,600 | 6f68c6733db5e38ba4cd82d12e683696 | 1 |
| 29 | C:\Windows\11987416.exe | N/A | ||
| 30 | C:\Windows\System32\46615275.exe | N/A | ||
| 31 | C:\Windows\System32\shedaudio.exe | N/A | ||
| 32 | C:\Windows\SysWOW64\f9jwqSbS.exe | N/A | ||
| 33 |
C:\Users\ |
N/A | ||
| 34 |
C:\Users\ |
N/A |
レジストリの詳細
免責事項
This article is provided "as is" and to be used for educational information purposes only. By following any instructions on this article, you agree to be bound by the disclaimer. We make no guarantees that this article will help you completely remove the malware threats on your computer. Spyware changes regularly; therefore, it is difficult to fully clean an infected machine through manual means.
