Висока активність трояна Emotet минулого року виражалася у розсиланні шкідливих електронних листи, а також розповсюдженні програм-вимагачів, зокрема Ryuk. В одній з останніх кампаній оператори Emotet створювали фішингові листи з проханням внести свої побажання у меню майбутньої різдвяної вечірки.
В іншій відомій фішинговій кампанії оператори трояна спробували скористатися популярністю Грети Тунберг, людини року 2019 за версією журналу “Time”, закликаючи отримувачів шкідливих листів приєднатися до демонстрації проти бездіяльності щодо змін клімату.
Як зазначають у фахівці компанії з кібербезпеки ESET, їхні технології виявлення блокують троян Emotet та його модифікації. Однак використання методів соціальної інженерії, а також недостатня поінформованість співробітників деяких компаній дозволяє даному трояну непомітно проникати в корпоративні мережі.
Крім цього, за даними тестувань незалежної лабораторії Virus Bulletin, троян Emotet виявляють не всі рішення для захисту електронної пошти.
“Електронні листи, які містять інфіковані трояном вкладення, заблокувати найскладніше”, — прокоментували спеціалісти лабораторії.
За результатами тестувань VBSpam, рішення для захисту поштових серверів ESET Mail Security для Microsoft Exchange Server має найвищі показники виявлення спаму, фішингу та шкідливого програмного забезпечення, а також найнижчий показник помилкових спрацювань серед конкурентів.
За допомогою аналізу у пісочниці та запиту до репутаційної системи ESET LiveGrid® шкідливе вкладення можна виявити навіть до того, як його відкриють (залежно від рівня заплутування коду). З метою забезпечення захисту користувачів репутаційна система збирає підозрілі зразки, отримані від мільйонів користувачів ESET, для хмарного аналізу за допомогою машинного навчання.
Багаторівневий захист від трояна
Для отримання доступу до пристрою жертви оператори Emotet найчастіше використовують вкладення електронної пошти. За замовчуванням параметр безпеки для відкриття вкладень передбачає використання “Захищеного перегляду” з вимкненими макросами. Це налаштування дозволяє знизити ризик інфікування.
У випадку з трояном Emotet, якщо користувач відкриє шкідливий додаток і помилково увімкне макроси, набір команд PowerShell запустить спробу зв’язатися з інфікованими доменами, щоб завантажити інший шкідливий файл. Небезпечну поведінку такого макрокоду можна виявити та відслідковувати завдяки наявності декількох рівнів безпеки у рішеннях ESET, зокрема системи запобігання вторгненням (HIPS) та родових виявлень.
Технологія HIPS — це система поведінкового виявлення, яка вбудована у більшість продуктів ESET. Вона відстежує діяльність системи та використовує заздалегідь визначений набір правил для розпізнавання дій підозрілих об’єктів. У поєднанні з родовим виявленням, яке знаходить ознаки, характерні для шкідливої поведінки, технологія HIPS ефективно блокує троян Emotet.
Крім цього, уникнути інфікування трояном Emotet можна за допомогою рішення для аналізу хмарній пісочниці ESET Dynamic Threat Defense, яке дозволяє перевірити наявність шкідливих файлів у вкладеннях лише за декілька хвилин та запобігти потраплянню загрози в корпоративну мережу. Отримати найактуальніші ідентифікатори інфікування, зокрема інфіковані домени та адреси командних серверів (C&C), можна за допомогою рішення ESET Threat Intelligence.
До речі, шкідник-вимагач FTCODE знову проявив активність, але тепер він ще й має нові можливості крадіжки інформації, орієнтовані на браузери та сервіси електронної пошти.
Зверніть увагу, дослідники Google виявили у браузері Apple Safari численні уразливості, що дозволяли стежити за активністю користувачів в Інтернеті.
Цікаво, що поки не вийшло офіційне виправлення від Microsoft, на платформі 0patch став доступний тимчасовий мікропатч для уразливості, яку активно зараз експлуатують, – CVE-2020-0674 з віддаленого виконання коду в браузері Internet Explorer 11.
Також Apple передумала давати користувачам iPhone можливість шифрувати дані, які зберігаються в iCloud.
Окрім цього, фахівці представили зразок здирницького програмного забезпечення, яке шифрує файли за допомогою компонента Windows.
Мобільний телефон генерального директора Amazon Джеффа Безоса зламали за допомогою шкідливого відео, відправленого через повідомлення в месенджері WhatsApp.