Banking Cybercrime Malware News

Emotet แพร่ระบาดหนักในช่วงลดราคา Cyber Monday และ Black Friday

แผนการสแปมใหญ่ Emotet ระบาดหนักในช่วง Cyber Monday และ Black Monday

Emotet เริ่มปล่อยสแปมครั้งใหญ่อีกครั้งในช่วงเทศกาลลดราคา Black Friday และ Cyber Monday

ESET ตรวจจับการแพร่กระจายครั้งใหญ่ของสแปม Emotet ที่อาจมีความเกี่ยวข้องเทศกาลลดราคาสินค้าออนไลน์ Black Friday และ Cyber Monday ด้วยอีเมลที่มีเนื้อหาและไฟล์อันตรายนามสกุล .DOC แต่พยายามแก้ไขหน้าตาให้เหมือนไฟล์ .PDF

อีกสายพันธุ์หนึ่งของ Emotet คือมัลแวร์ธุรกรรม Ursnif, Trickbot และ Icedld ที่ ESET สามารถตรวจจับมัลแวร์ได้ในชื่อ Win32/PSW.Delf.OSF มีความสามารถในการขโมยรหัสผ่าน ข้อมูลบัตรเครดิต/เดบิต และเข้าถึงกระเป๋าเงินสกุลออนไลน์ โดยตัว TrickBot ยังได้รับการปรับแต่งเพิ่มเป้าหมายเป็นธนาคารของอังกฤษและเยอรมนี พร้อมรองรับทั้งสองภาษา

การแพร่กระจายของ Emotet ส่งผลกระทบต่อภูมิภาคละตินอเมอริกัน (LATAM) มากที่สุด — ประเทศเม็กซิโก เอควาดอร์ และอาร์เจนติน่า มีการตรวจจับรวมๆกับนับล้านครั้ง ส่วนประเทศอังกฤษติด 1 ใน 5 ในขณะที่อังกฤษและแอฟริกาใต้ติด 1 ใน 10

Indicators of Compromise (IoCs)

Emotet payloads

02b614654f27b67aa3efcf94dcad3875696315abTrickBot
cda88d48c26afd383a996fe2c0ef87514389c189IcedId
0977692f1accd541dd7c23eb76f5272d4321d868IcedId
3b000e5e6de4d91443563792d69caac95b1038f0TrickBot
086bc2718521e6e4aead498b57d20d3b2ec812e9Ursnif
202604e7dc6c29ae75ad9f707ebbc8bf5367a631TrickBot
844e6a4c31ae473702781603d8cdd5f9b3aa63c5IcedId
6481172f509f80ee059b7dc20a2bf995b38aafd2TrickBot
9e8972dd0130481e1e42504c7fdda1ffa353e473IcedId
db82d173e5afe207eeebacb65bd76cdbb67b5955TrickBot
350e6b2f5728a17578923ab5a7640e0b57101447IcedId
638d2c5b3331cdc2267d1036a9ff8e2efd08b316IcedId
3c3624bfd75285c0d69f4867cc2adc5fb538888fIcedId
f75e600d29189065208d116602a2a6fccebf1927IcedId
e38d371e17eeb34b6f94d05a208d0eb8a3b88f37IcedId
765c272f914e85332d6e6a16e62645764f417379TrickBot
ea24d6f25077f8a82c5a09e0b22040293b8a50d6IcedId
d5d1c5c1af7c4e0346367cc1fdef0e788f25f1a6IcedId

PSW.Delf.OSF – AZORult

3e435f2d58616e28972ad2c422f54e27680fb452Win32/GenKryptik.CRSJ trojan
f17a455dc012027486ad39c134984cadbe7e31efWin32/Kryptik.GMUX trojan
00169e624343cfda397d7a6df77b3e776b54e5ecWin32/Kryptik.GNEF

Author: Ondrej Kubovič
Source:
https://www.welivesecurity.com/2018/11/23/black-friday-special-emotet-filling-inboxes-infected-xml-macros/
Translated by: Worapon H.

%d bloggers like this: