Троян Emotet, предлагающий услугу транспортировки, в том числе и другим семействам вредоносного программного обеспечения, известен не первый год. В июле 2020 года была вновь отмечена активность вируса, которая больше направлена на перенос вредоносного программного обеспечения, чем в виде банковского трояна.
Вредонос Emotet, как правило, распространяется через документы, вложенные в электронные письма, и использует переписку, обнаруженную на уже скомпрометированных учетных записях. Электронные письма могут быть присланы:
В этой ситуации сотрудники, как правило, являются самым слабым звеном в цепочке информационной безопасности. Поэтому важно, чтобы они умели распознавать фишинговые письма, которые могут содержать различные вредоносные программы, и не открывали полученные вложения — иначе это может привести к реализации различных видов кибер-мошенничества, включая заражение сети всей организации. А помочь в вопросе повышения осведомленности сотрудников об онлайн-опасностях вам может решение Kaspersky Automated Security Awareness Platform (ASAP).
Более подробно узнать о платформе Kaspersky Automated Security Awareness Platform можно по телефону +375 (17 / 29 / 33) 360 23 43 или эл.почте info@abis.by
Троян чаще всего прикрепляется в виде документов Office, конфигурации которых содержат инструменты для выполнения различных функций. Некоторые узкоспециализированные модули предназначены для компрометации электронной почты, в то время как другие сосредоточены на краже аутентификационных данных, хранящихся в браузере, одни позволяют осуществлять DDoS, а другие могут распространять вирусы-вымогатели.
Ниже перечислены выявленные признаки распространения и заражения трояном Emotet:
Адреса-отправители:
manzimonate@oaks.co.za
yaghoutian@atateb-novin.ir
acoste@inespre.gob.do
info@primegeoconsult.ae
payment.mohali@magnusfm.in
Ссылки, содержащиеся в рассылаемых электронных письмах:
http[:]//hesa.co.id/244344-5afaxlSlRW-module/lm/ovgx1y8cydht-1915/
http[:]//arkestate.al/obasr/docs/lHVxBMgs/
http[:]//wto.formstack.com/forms/pef_blr171
Хеш рассылаемых Office-файлов:
927cebea7040f6ee979e6e51c547842f
fcab4279db965fdf4e4d2972c86ffc48
940344fdf74e8759cd926719cf6aeb53
227d2bc3bb0b0099d285356b5db3d344
45b005eaaa59891233f645da38480a67
8580c9ce647bfee3853d85619bbd72b3
85cbd6790bedf2dacfa7ea3e73262581
85cbd6790bedf2dacfa7ea3e73262581
8e04616afb5d7ff3877dd7b12e980b86
4f0233fce715c44700ad1e0b66db0a9e
a40327370c902ee1c0d1eabc3311d0ac
8580c9ce647bfee3853d85619bbd72b3
Обращение на командные центры:
http[:]//104.131.11.150:443
http[:]//109.116.214.124:443
http[:]//153.163.83.106
http[:]//162.249.220.190
http[:]//174.102.48.180
http[:]//174.137.65.18
http[:]//181.230.116.163
http[:]//185.94.252.104:443
http[:]//189.212.199.126:443
http[:]//190.160.53.126
http[:]//190.55.181.54:443
http[:]//24.233.112.152
http[:]//24.43.99.75
http[:]//37.70.8.161
http[:]//64.183.73.122
http[:]//68.44.137.144:443
http[:]//70.121.172.89
http[:]//74.120.55.163
http[:]//85.152.162.105
http[:]//89.186.91.200:443
http[:]//97.82.79.83
Дополнительная информация по признакам распространения и заражения доступна по адресу:
Нужно быть очень осторожным при получении письма с вложением даже от знакомого человека. Если есть малейшие сомнения относительно содержания или вложения электронного письма, стоит связаться с отправителем по телефону или по альтернативному каналу и уточнить необходимые детали сообщения, в противном случае необходимо обратиться в службу обеспечения информационной безопасности организации.