Biến thể mới của EMOTET phát tán qua mạng thư rác

Được biết, EMOTET lần đầu bị Trend Micro phát hiện vào năm 2014 khi triển khai chiến dịch xâm nhập vào hệ thống mạng để lấy cắp dữ liệu.

Hãng bảo mật Trend Micro (Nhật) báo cáo phát hiện sự gia tăng hoạt động của mã độc ngân hàng EMOTET trong tháng 08/2017

Các biến thể mới bị phát hiện gần đây bao gồm TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, TSPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV, với mỗi biến thể đều có khả năng đưa ra payload độc khác nhau.

Theo các nhà nghiên cứu, có 02 lý do chính để mã độc này tái phát trở lại là do các tác giả đứng sau đang hướng sang mục tiêu lĩnh vực mới và vì các biến thể mới áp dụng nhiều cách phát tán.

Nếu như các biến thể EMOTET trước đây chủ yếu nhắm mục tiêu lĩnh vực ngân hàng, thì các biến thể gần đây nhắm vào nhiều ngành công nghiệp khác nhau bao gồm sản xuất, thực phẩm và nước giải khát, và y tế.

Các biến thể mới đang lan rộng và chủ yếu phát tán qua thông qua botnet thư rác cũng như thông qua một công cụ lan truyền có khả năng tấn công brute force để truy cập vào 1 tài khoản tên miền. Một số biến thể khác sử dụng các URL cũng như các máy chủ C&C bị xâm nhập để phân phối mã độc.

Nạn nhân của EMOTET phần lớn ở Mỹ, chiếm 58% tổng số trường hợp lây nhiễm bị phát hiện, tại Anh và Canada là 12% và 8%.

Các biến thể EMOTET mới thường được gửi qua email giả mạo đính kèm một hoá đơn hoặc thông báo thanh toán, còn phần nội dung email chứa URL độc. Khi nạn nhân nhấp vào liên kết sẽ tải xuống một tài liệu chứa macro độc được thiết kế để thực thi một dòng lệnh PowerShell có nhiệm vụ tải về trojan EMOTET.

Ngoài các payload độc, máy chủ ra lệnh và kiểm soát của trojan EMOTET cũng chịu trách nhiệm tải xuống các module khác để thực thi các nhiệm vụ theo dõi khác nhau.

Để giải quyết những vấn đề trên, các nhà nghiên cứu khuyến cáo người dùng áp dụng các biện pháp bảo mật chủ động và đa lớp cũng như các giải pháp giành cho thiết bị đầu cuối.

Theo SCMagazineUK