В национальном сегменте сети Интернет выявлена очередная серия фишинговых рассылок с вложениями, содержащими вредоносное программное обеспечение типа троян семейства Emotet. Ранее мы уже писали о его распространении: Атака банкеров, Атака банкеров. Часть 2 и Вторая волна Emotet.
Наблюдение за поведением трояна Emotet позволяет предположить, что злоумышленники продолжают совершенствовать свое вредоносное ПО.
Напомним, что отличительной особенностью трояна Emotet является рассылка фишинговых писем, содержащих ссылки на вредоносные файлы либо вредоносные вложения. Обычно вложением является офисный документ либо запароленный архив, содержащий такой документ. Пароль от архива всегда содержится в рассылаемом письме.
Открытие скачанного по ссылке файла или вредоносного вложения чаще всего приводит к заражению компьютера и попаданию в ботнет под контроль злоумышленников.
Рекомендации для снижения вероятности заражения компьютера:
- В частности, ко всем ссылкам и вложениям, содержащимся в письмах, даже от знакомого вам отправителя, всегда необходимо относится максимально бдительно и, в случае возникновения малейшего подозрения, перед тем как открывать ссылку или файл, лучше передать/сообщить специалисту по информационной безопасности или системному администратору вашей организации для проверки. Также, если это не запрещено локальной политикой безопасности, можно проверить самому на ресурсе https://www.virustotal.com.
- В общем, необходимо постоянно соблюдать правила «цифровой гигиены». Если Вы до сих пор с ними не знакомы, то следует обязательно изучить!
Ниже перечислены выявленные CERT.BY признаки распространения и заражения трояном Emotet.
Адреса-отправители:
bhz.adm@cascadura.com.br marcio@kazagaz.com.br contact@avocat-zohar.com gmpagaja@ptcmw.com dumac@dumac.com.br segtrabalho@guatos.com.br snd2@hospitalcasadesaude.com.br gustavo@rpaconstrutora.com.br vendas1@sealway.com.br jamily.neves@nobregapimenta.com.br maki@benoist.uf.shopserve.jp diretoria@cmicentromedico.com.br jamily.neves@nobregapimenta.com.br contabilidade5@edisaconsultoria.com.br clovis@cay.com.br asad.spal@swisstexgroup.com.bd paulo.paes@foccusimobiliaria.com.br customerservice@gpshippingltd.com dulce@not169df.com price@brasilatacadista.com.br hse@ore-peinture.fr hse@ore-peinture.fr hr@phoenixmanu.com opsydanap@sch.gr asad.spal@swisstexgroup.com.bd recepcion@medicauniversidad.mx shayane@factoturismo.tur.br comercial@altumenergy.com.br order@milestonesa.ch processosba@nichibras.com.br logistica.ipsc@hospitalariasec.org jyoti.bpkihs@subisu.net.np a.fratalocchi@bieffeconsulting.com price.central@brasilatacadista.com.br gerencia@vendasrepresentacoes.com.br bhz.adm@cascadura.com.br suellen.sousa@cne.srv.br
Пример ссылки, содержащиеся в рассылаемых электронных письмах:
http[:]//hotelshivansh[.]com/UserFiles/LLC/oyjxXKWEATGRl6EX/
MD5-хеши рассылаемых и докачиваемых файлов:
92f4ad2d69c505e75ccb0108cef3657c 28179a27a0075fbd157d7f3e6781c6e1 8e8c9890ab3c1e4c3dd6c1f0b7fec3a4 c32d7949986c5aa888f82413571683af 9a3c3c9ed3dc10cd424e24652560b80f 6fed6dd05667b66bc9c8b8c82b3a871d c961f8ec52d764515c761f6ec5697881 555ed763903cc29c4d02a52bcfa28e2b c64fcf9ccc26fe372f089591b5eb71ce
Исследованием Emotet и борьбой с ним по всему миру занимается огромное количество специалистов информационной безопасности. Образовалась даже группа энтузиастов под названием Cryptolaemus, которая постоянно следит за Emotet и предоставляет актуальную информацию на своем сайте. Здесь специалисты по информационной безопасности и системные администраторы могут дополнительно получать актуальную информацию, для организации защиты своих инфраструктур.
