Zaloguj się do usług
bezpieczeństwa
10 grudnia 2021
Emotet wraca do gry! (IoC)

Jeszcze na początku roku cieszyliśmy się informacją o tym, że organy ścigania z Europy, USA i Kanady pod szyldem Europolu doprowadziły do wyłączenia groźnego botnetu Emotet. To wyrafinowane narzędzie skupiające się przede wszystkim na kradzieży danych logowania do bankowości elektronicznej, mające jednak również możliwość doinstalowania dowolnego złośliwego modułu. Minęło 11 miesięcy i tak jak rok zaczął się od Emoteta, tak też się nim kończy – trafiły do nas próbki kolejnych kampanii z tym złośliwym oprogramowaniem, a Talos Intelligence już miesiąc temu potwierdził jego powrót na mapę cyber-zagrożeń.

 

 

Szybka analiza próbek pomogła nam znaleźć serię domen, hostujących zainfekowane pliki XLSM z losowymi nazwami:

hxxp://joomla.hamibusiness.com/ySyBpiwNRL3ofoczwDTNDpelP ; AJAVIWA87B3DT.xlsm

hxxp://www.vergelijkeenproduct.nl/wp-admin/SN9XLil6xdROVC ; 02895RLA6TO4O7.xlsm, V34VSXGCZJJ.xlsm

hxxp://oficinaslibreros.com/wp-content/veyxG63Yg ; X7NSFBJ.xlsm, NWTZP2CDEE00KRD.xlsm

hxxp://egpp.pl/wp-admin/Vfdn5h757e5F2C5RunXPPnVqVfd9o ; 03A4P3G0N.xlsm, 03A4P3G0N.xlsm

hxxp://www.vergelijkeenproduct.nl/wp-admin/SN9XLil6xdROVC ; HABOBQ6OA4LHCWA.xlsm

hxxp://pekopekopeko.top/4/8gfex2bJFfModg0JcYe09 ; VZPV2LW2.xlsm, 17F0I435WZ62.xlsm

hxxp://ask-an-electrician.com/6/1pewWNnqD ; BMXDRNVU.xlsm

 

W ramach swojej aktywności pliki łączą się z dwoma serwerami Command&Control.

  • 172.104.227.98
  • 45.63.5.129

Dowiedziałeś się o zagrożeniu?

Poinformuj nas!

Zgłoś incydent

Załącz plik

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Nie jestem człowiekiem
Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl