Trojan Emotet atakuje polskie firmy. Możesz być następną ofiarą

Trojan Emotet atakuje polskie firmy. Możesz być następną ofiarą01.10.2019 15:23
Trojan Emotet atakuje polskie firmy. Jest kolejna ofiara, możesz być następny

Polskie firmy są atakowane przez bardzo groźnego trojana Emotet. Trudny do wykrycia złośliwy program podłącza zainfekowany komputer do botnetu – sieci komputerów-zombie, które wykonują polecenia wydane przez cyberprzestępców. Może to być rozsyłanie szkodliwych wiadomości, szyfrowanie dysku i żądanie okupu za dane (ransomware), wykradanie informacji czy instalowanie trojanów bankowych.

Emotet skutecznie zaatakował między innymi PKO i mBank.

Po czym poznać Emotet?

Atak zaczyna się od e-maila, który u wielu osób nie budzi podejrzeń. Autorzy Emoteta doskonale kamuflują szkodliwe wiadomości. E-maile wyglądają jak odpowiedź na wcześniejszą korespondencję, zawierają nawet cytaty z wysłanych wcześniej wiadomości. Cyberprzestępcy zadbali nawet o sygnaturkę rzekomego nadawcy.

W tym przypadku e-mail do złudzenia przypomina korespondencję z działem HR. Został wysłany do wszystkich osób, które odpowiedziały w tym wątku. Wiadomość nie została oznaczona jako niebezpieczna przez żaden z filtrów antyspamowych po drodze.

Trojan infekujący komputery znajduje się w załączonym dokumencie PLIK_637103401_22475224988.doc (nazwy mogą się zmieniać). Po otwarciu go w Wordzie zostaniesz poproszony o uruchomienie makra, które ściągnie trojana i zainfekuje komputer. Nie rób tego!

Dokument po otwarciu prosi o uruchomienie makra, nie ma w nim żadnej innej treści
Dokument po otwarciu prosi o uruchomienie makra, nie ma w nim żadnej innej treści

Dokument jest kompatybilny z pakietem Office 97 i wszystkimi nowszymi, aż do Office 365. Nawet jeśli korzystasz z programu antywirusowego, są małe szanse, że zauważysz atak.

Jak się bronić?

Emotet wciąż nie jest prawidłowo wykrywany przez wiele programów zabezpieczających. Podczas badania zagrożenia dokument ze szkodliwym makrem został zablokowany przez darmowy program Avast Free Antivirus, który rozpoznał w dokumencie aktywną zawartość (makro) ściągającą plik. Podobnie zareagowało wiele innych programów antywirusowych.

Niestety Windows Defender na tym etapie nie pokazał ostrzeżenia. Przeglądarka Microsoft Edge pozwoliła mi ściągnąć plik, Google Chrome i Firefox przerwały pobieranie. Gmail, czyli poczta Google, także oznacza ten plik jako niebezpieczny.

Avast free antivirus zablokował pobieranie szkodliwego dokumentu
Avast free antivirus zablokował pobieranie szkodliwego dokumentu

Pliki potrzebne do zainstalowania trojana są ściągane przez internet i nie są rozpoznawane przez kilka silników antywirusowych, w tym F-Secure, Symantec, Sophos i ESET. Jednak większość programów antywirusowych nie gwarantuje pełnego bezpieczeństwa.

Wynik analizy pliku z trojanem przez VirusTotal
Wynik analizy pliku z trojanem przez VirusTotal

Najlepszą obroną jest tu ostrożność. Koniecznie sprawdzaj adres nadawcy e-maila, nawet jeśli wiadomość została podpisana nazwiskiem osoby, którą znasz. Zadzwoń, by się upewnić, czy ta osoba rzeczywiście wysyłała do ciebie e-maila. Wiadomość z trojanem może udawać e-mail, na który czekasz! Szkodliwa wiadomość nie będzie widoczna w skrzynce nadawcy, gdyż tak naprawdę to nie ona je wysłała, a inne maszyny z botnetu Emotet.

Jeśli dostaniesz taką wiadomość, nie zezwalaj na uruchomienie makra, a najlepiej w ogóle nie otwieraj tego dokumentu. Skorzystaj z narzędzia VirusTotal – na tej stronie sprawdzisz, czy silniki antywirusowe widzą zagrożenie w dowolnym pliku. Wystarczy, że przeciągniesz dokument na stronę. Gdy pojawi się choć jedno ostrzeżenie, powiadom nadawcę wiadomości. Jeśli pracujecie w tej samej firmie, poinformuj także dział IT.

Warto zwrócić uwagę, że niebezpieczny plik bywa wysyłany najpierw do jednej osoby, a dopiero potem do większej grupy – także do osób spoza firmy.

Otworzyłem załącznik. Co mam robić?

Jeśli uruchomiłeś makro w dokumencie rozprowadzającym Emotet, zobaczysz tylko grafikę. W tle zaś zostanie ściągnięty i zainstalowany plik EXE, zawierający trojana. Po instalacji trojan będzie ukrywał się w systemie i czekał na dalsze instrukcje z centrali. Na pewno fragment twojej książki adresowej z Outlooka i wątki korespondencji zostaną przeanalizowane w poszukiwaniu kolejnych ofiar.

Trojana Emotet możesz samodzielnie usunąć ze swojego komputera. Wystarczy do tego program antywirusowy. Na czas skanowania najlepiej odłącz się od internetu, by trojan nie mógł komunikować się z centralą. Do skanowania polecamy oprogramowanie firmy F-Secure, które potrafi rozpoznać trojana Emotet.

By uruchomić pełne skanowanie w programie F-Secure SAFE, przejdź do Narzędzi i wybierz Pełne skanowanie komputera
By uruchomić pełne skanowanie w programie F-Secure SAFE, przejdź do Narzędzi i wybierz Pełne skanowanie komputera

Odpowiednie definicje mają też programy firmy ESET i Sophos.

Jeśli interesują cię szczegóły techniczne działania trojana Emotet, czytaj dalej.

Skąd się wziął ten e-mail? (Houston, mamy problem)

Od pracownika zaatakowanej firmy dostaliśmy e-mail razem z nagłówkami, mogliśmy więc sprawdzić, skąd został wysłany. Na firmowe serwery pocztowe trafił z Meksyku przez węzeł w Houston. Wiadomość została wysłana z serwera o adresie 187.189.68.132, należącego do firmy Total Play Telecomuicaciones – dostawcy usług internetowych i telewizyjnych. Według ipvoid z tego serwera były już wysyłane szkodliwe e-maile i spam.

W polu nadawcy zostało wpisane nazwisko pracownika zaatakowanej firmy z Polski, ale adres e-mail jalal[at]bpelbd.com nie ma z nim nic wspólnego. To adres z domeny firmy Basic Power Engineering z Bangladeszu. Trop znów prowadzi do Houston, gdzie fizycznie znajdują się serwery tej firmy (IP 192.185.77.39). Jestem niemal pewna, że ten adres e-mail jest prawdziwy i należy do jednego z inżynierów z Bangladeszu (wiadomość nie została odrzucona przez serwer, ale nie dostałam też żadnej odpowiedzi).

Niestety nie jesteśmy w stanie stwierdzić, jak zainfekowany został komputer pracownika polskiej firmy, która przekazała nam e-mail z zainfekowanym załącznikiem. Na pewno nie była to pierwsza ofiara. Dowiedziałam się, że podobny dokument z makrem pobierającym trojana Emotet otrzymała w innym wątku, tu niestety trop się urywa.

Jak działa Emotet?

[url]Kamil J. Dudek[/url] przeanalizował kod makra w dokumencie i niebezpieczny plik, który jest pobierany na komputer. Nie było to łatwe zadanie, gdyż kod był mocno zaciemniony – było na przykład mnóstwo zbędnych zmiennych i operacji na nich. Całe makro Kamil sprowadził do kilku linijek kodu:

Podstawowa funkcja makra uruchamia skrypt w PowerShellu po odkodowaniu go metodą Base64. Skrypt ma zapisane kilka linków, z których może pobrać trojana. Jeśli któryś z plików ma długość 25591, jest uruchamiany jako proces Investorboi.

Wszystkie podane w skrypcie odnośniki prowadzą do serwerów zainstalowanym Wordpressem. Są to starsze wersje ze znanymi lukami bezpieczeństwa. Twórcy Emoteta zapewne włamali się na więcej takich serwerów i w kolejnych falach ataku podmieniają te linki.

Pakiety pobierania trojana (Wireshark)
Pakiety pobierania trojana (Wireshark)

Pobranie pliku EXE trojana (stage two payload) nie było oczywiste. Serwery nie zawsze pozwalają go ściągnąć. Kamilowi udało się to po kilkunastu próbach z jednym serwerem. To kolejny kamuflaż Emoteta. Zauważyliśmy też, że serwer C&C (Command and Controll) nie odpowiada. Nie możemy być pewni, czy to się nie zmieni w najbliższych dniach.

Znaleziony plik wykonywalny nazywał się CBIT_756695.exe i miał odpowiednią długość, by został uruchomiony. Kamil rozebrał także ten plik. Poza zaciemnionym kodem znalazł w nim także plik Windows 95!.wav. Wielu rzeczy się spodziewaliśmy, ale dżingla uruchamiania systemu sprzed 24 lat się nie spodziewaliśmy. Plik dźwiękowy ma za zadanie utrudnić inżynierię wsteczną programu.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na