[Cảnh Báo] Emotet malware – một trong những mã độc khó phát hiện và nguy hiểm nhất hiện nay.

April 3, 2019

Emotet malware là một trojan tấn công hệ thống ngân hàng được các nhà nghiên cứu phát hiện đầu năm 2014. Ban đầu, Emotet chỉ được thiết kế như một phần mềm độc hại tấn công các hệ thống ngân hàng, bằng cách ngăn chặn lưu lượng internets và lẻn vào đánh cắp thông tin và dữ liệu nhạy cảm riêng tư. Theo các chuyên gia bảo mật đánh giá, từ lúc được phát hiện cho đến nay, thì loại mã độc này đã phát triển cùng với những bản cập nhật mới chứa nhiều tính năng độc hại khiến nó trở nên khó phát hiện và phòng tránh.

Emotet Malware

Vừa qua, tổ chức MS-ISAC (Trung Tâm Phân Tích & Chia Sẽ Thông Tin Liên Bang, một bộ phận thuộc Trung tâm bảo mật internet chính phủ Hoa Kỳ) công bố trong một đợt báo cáo hồi tháng 1 thì Emotet được liệt kê vào nhóm đứng đầu những malwere độc hại có nhiều hoạt động phá hoại từ cuối năm 2018 đến đầu 2019 được phát hiện trên các quốc gia bao gồm: Hoa Kỳ, Canada. Châu Âu và các nước Mỹ Latin.

Top 10 Malware

Khả năng hoạt động của Emotet

Emotet là một banking trojan module tân tiến, nó chủ yếu hoạt động nhờ người dùng click tải xuống như bao Banking trojan khác. Nhưng đặc biệt hơn, Emotet là một banking trojan đa hình, có nghĩa là nó có thể tự thay đổi mỗi khi được tải xuống, trốn tránh phát hiện dựa trên chữ ký. Nó có một số phương pháp để duy trì sự bền bỉ, bao gồm các khóa và dịch vụ đăng ký tự động khởi động. Emotet sử dụng một số thủ thuật để thử và ngăn chặn phát hiện và phân tích từ các phần mềm diệt virus thông thường.

Emotet cũng sử dụng máy chủ C & C để nhận cập nhật cho chính nó. Điều này hoạt động giống như cách hệ điều hành cập nhật trên máy tính của bạn và có thể diễn ra liền tục mà không có bất kỳ dấu hiệu bên ngoài để nhận biết. Điều này cho phép kẻ tấn công cài đặt các phiên bản cập nhật phần mềm, cài thêm các phần mềm độc hại bổ sung như banking Trojan khác hoặc hoạt động như một kho dữ liệu chứa những thông tin bị đánh cắp như thông tin tài chính, tên người dùng và mật khẩu và địa chỉ email. Hơn nữa, Emotet là máy ảo và có thể tạo ra các chỉ báo sai nếu chạy trong môi trường ảo.

5 module đi kèm cho mỗi mã độc Emotet

Hiện tại, Emotet sử dụng năm mô-đun đi kèm là: NetPass.exe, WebBrowserPassView, Mail PassView, trình quét Outlook và trình liệt kê thông tin xác thực.

NetPass.exe là một tiện ích hợp pháp được phát triển bởi NirSoft, phục hồi tất cả mật khẩu mạng được lưu trữ trên một hệ thống cho người dùng đăng nhập hiện tại. Công cụ này cũng có thể khôi phục mật khẩu được lưu trữ trong tệp thông tin xác thực của các ổ đĩa ngoài.

Công cụ quét Outlook là một công cụ loại bỏ tên và địa chỉ email từ các tài khoản Outlook Outlook nạn nhân và sử dụng thông tin đó để gửi thêm email lừa đảo từ các tài khoản bị xâm nhập.

WebBrowserPassView là một công cụ khôi phục mật khẩu, nắm bắt mật khẩu được lưu trữ bởi Internet Explorer, Mozilla Firefox, Google Chrome, Safari và Opera và chuyển chúng đến mô-đun liệt kê thông tin xác thực.

Mail PassView là một công cụ khôi phục mật khẩu tiết lộ mật khẩu và chi tiết tài khoản cho nhiều ứng dụng email khác nhau như Microsoft Outlook, Windows Mail, Mozilla Thunderbird, Hotmail, Yahoo! Mail và Gmail và chuyển chúng đến mô-đun liệt kê thông tin xác thực.

Trình liệt kê chứng chỉ là một tệp RAR tự giải nén có chứa hai thành phần: thành phần bỏ qua và thành phần dịch vụ. Thành phần bỏ qua được sử dụng để liệt kê tài nguyên mạng và tìm thấy các ổ đĩa chia sẻ có thể ghi bằng cách sử dụng Khối tin nhắn máy chủ (SMB) hoặc cố gắng ép buộc tài khoản người dùng, bao gồm cả tài khoản quản trị viên. Khi tìm thấy một hệ thống có sẵn, Emotet ghi thành phần dịch vụ trên hệ thống, ghi Emotet vào đĩa. Truy cập Emotet vào SMB có thể dẫn đến việc lây nhiễm toàn bộ miền (máy chủ và máy khách).

Cách thức lây nhiễm của Emotet

Phương thức lây lan chính cho Emotet là thông qua mail spam (email chứa các tệp đính kèm hoặc liên kết độc hại). Emotet lục soát danh sách liên lạc của bạn và gửi cho bạn bè, gia đình, đồng nghiệp và khách hàng của bạn. Kể từ tháng 7 năm 2018, các mail spam bắt chước các biên lai PayPal, thông báo giao hàng hoặc hóa đơn thanh toán quá hạn của Cameron. Sau khi lây lan, các email này biến thể rồi gửi đến các email khác trong danh sách liên hệ, các email trông không giống như thư rác và người nhận cảm thấy an toàn và họ có xu hướng nhấp vào các URL xấu và tải xuống các tệp bị nhiễm.

Một email phát tán Emotet giả mạo AT&T

Nếu có mạng được kết nối, Emotet sẽ phát tán bằng cách sử dụng danh sách các mật khẩu phổ biến, đoán đường đến các hệ thống được kết nối khác trong một cuộc tấn công mạnh hơn. Nếu một mật khẩu được đặt cho máy chủ chỉ đơn giản là mật khẩu bình thường thì nó có khả năng Emotet sẽ tìm được đường đến đó.

Một phương pháp khác mà Emotet sử dụng để phát tán là thông qua các lỗ hổng EternalBlue (khai thác lỗ hổng trong việc triển khai giao thức SMB (Server Message Block) trên hệ điều hành windows), chịu trách nhiệm cho các cuộc tấn công WannaCry và NotPetya. Các cuộc tấn công này lợi dụng các lỗ hổng trong Windows có thể cho phép cài đặt phần mềm độc hại mà không cần sự tương tác của con người.

Khả năng tự sao chép này, giống như một loại phần mềm độc hại mà chúng ta gọi là sâu, hiện nay gây mất ăn mất ngủ cho các nhân viên quản trị mạng trên toàn cầu khi Emotet tự lây lan từ hệ thống này sang hệ thống khác.

Quá trình lây nhiễm Emotet

Để duy trì khả năng ẩn nấp khi đã xâm nhập vào máy tính nạn nhân, Emotet tiêm mã vào explorer.exe và các quy trình đang chạy khác. Nó cũng có thể thu thập thông tin nhạy cảm, bao gồm tên hệ thống, vị trí và phiên bản hệ điều hành và kết nối với máy chủ chỉ huy và điều khiển từ xa (C2), thường thông qua một tên miền 16 chữ cái được tạo ra kết thúc bằng đuôi .eu. thiết lập kết nối với C2, nó báo cáo một sự lây nhiễm mới, nhận dữ liệu cấu hình, tải xuống và chạy các tệp, nhận hướng dẫn và tải dữ liệu lên máy chủ C2.

Các tệp của Emotet thường được tìm thấy trong các đường dẫn tùy ý nằm ngoài thư mục AppData \ Local và AppData \ Roaming. Chúng thường bắt chước tên của các mã thực thi đã biết. Để nâng cao khả năng tiến sâu vào hệ thống máy tính nạn nhân, nó duy trì các mã thực thi nhiệm vụ theo lịch trình. Ngoài ra, Emotet tạo các tệp có tên ngẫu nhiên trong các thư mục gốc của hệ thống được chạy dưới dạng dịch vụ Windows. Khi được thực thi, các dịch vụ này cố gắng lây lan phần mềm độc hại đến các hệ thống lân cận thông qua các chia sẻ quản trị có thể truy cập.

Lưu ý: Tài khoản quản trị cao cấp không được sử dụng để đăng nhập vào các hệ thống bị xâm nhập trong quá trình khắc phục vì điều này có thể đẩy nhanh sự lây lan của phần mềm độc hại.

Emotet nhắm đến ai và hậu quả nó gây ra như thế nào?

Mọi người đều là mục tiêu của Emotet. Đến nay, Emotet đã tấn công các cá nhân, công ty và các tổ chức chính phủ trên khắp Hoa Kỳ và Châu Âu, đánh cắp thông tin đăng nhập ngân hàng, dữ liệu tài chính và thậm chí cả ví Bitcoin.

Đã sảy ra một cuộc tấn công Emotet đáng chú ý vào Thành phố Allentown, Pennsylvan, phải cần đến sự trợ giúp trực tiếp từ nhóm ứng phó sự cố của Microsoft để xử lý và báo cáo chi phí thành phố cho việc giải quyết sự cố ấy lên tới 1 triệu đô la.

Giờ đây, Emotet đang được sử dụng để tải xuống và phân phối các banking Trojan khác, danh sách các mục tiêu thậm chí còn rộng hơn. Các phiên bản ban đầu của Emotet đã được sử dụng để tấn công khách hàng ngân hàng ở Đức. Các phiên bản sau nhắm đến các tổ chức ở Canada, Vương quốc Anh và Hoa Kỳ. Ngoài ra, theo John TerBush, nhà nghiên cứu mối đe dọa cấp cao làm việc cho tập đoàn Insikt Recorded Future, các nhà phân tích đã quan tâm khi biết rằng phần lớn các bộ điều khiển Emotet có địa chỉ IP hiện nay đang tập trung hoạt động ở các nước Mỹ Latinh. Trong một tuyên bố ông nói rằng “các tác nhân đe dọa đằng sau phần mềm độc hại khét tiếng (banking trojan đã phát triển trở thành một dịch vụ cung cấp các dịch vụ đe dọa đầy đủ các mudule nguy hiểm đi kèm theo) đang gia tăng trong khu vực, nhắm vào một loạt các lĩnh vực, từ ô tô đến tài chính và bán lẻ đến công nghệ.

Hậu quả khi bị nhiễm mã độc Emotet bao gồm:
–  Mất tạm thời hoặc vĩnh viễn thông tin nhạy cảm hoặc độc quyền,
–  Gián đoạn hoạt động thường xuyên,
–  Tổn thất tài chính phát sinh để khôi phục hệ thống và tập tin, gây tổn hại tiềm tàng lâu dài đối với một tổ chức danh tiếng.

Các phương pháp phòng chống loại malware này.

Luôn cập nhật máy tính, thiết bị đầu cuối của bạn với các bản vá mới nhất cho Microsoft Windows. Emotet có thể dựa vào lỗ hổng Windows EternalBlue để thực hiện công việc cài đặt mã độc.

Sử dụng mật khẩu mạnh và 2 bước xác nhận cho các tài khoản. Yêu cầu người dùng không mở email đáng ngờ, nhấp vào liên kết có trong email đó hoặc đăng thông tin nhạy cảm trực tuyến và không bao giờ cung cấp tên người dùng, mật khẩu hoặc thông tin cá nhân để trả lời bất kỳ yêu cầu không mong muốn nào. Dành thời gian tìm hiểu và hướng dẫn người dùng xung quanh về cách phát hiện malspam.

Sử dụng các chương trình chống vi-rút, với cập nhật tự động.

Triển khai các bộ lọc tại cổng email để lọc email với các chỉ số malspam đã biết, chẳng hạn như các dòng chủ đề độc hại đã biết và chặn các địa chỉ IP đáng ngờ tại tường lửa.

Đánh dấu các email bên ngoài bằng một biểu ngữ biểu thị nó là từ một nguồn bên ngoài. Điều này sẽ hỗ trợ người dùng trong việc phát hiện các email giả mạo.

Xem xét việc chặn các tệp đính kèm thường được liên kết với phần mềm độc hại, chẳng hạn như dll và .exe và các tệp đính kèm không thể quét được bằng phần mềm chống vi-rút, chẳng hạn như các tệp .zip.

Làm cách nào để xóa Emotet?

Nếu bạn nghi ngờ máy tính bạn đã bị nhiễm Emotet, dừng các hoạt động ngay lập tức và ngắt nó khỏi hệ thống mạng chung. Sau khi cách ly, tiến hành xử lý và làm sạch hệ thống bị nhiễm mã độc. Nhưng đến đây chưa phải là kết thúc. Do Emotet lan truyền qua mạng, nên một máy tính sạch có thể bị lây nhiễm lại khi cắm lại vào mạng bị nhiễm. Vì thế, phải làm sạch từng máy tính một trong hệ thống mạng của bạn.

Không đăng nhập vào hệ thống bị nhiễm bằng tên miền hoặc tài khoản quản trị viên cao cấp. Phải tiến hành đặt lại mật khẩu cho cả thông tin tên miền và máy chủ, hãy xem xét đặt lại mật khẩu cho các ứng dụng khác có thể đã lưu trữ thông tin đăng nhập trên các máy bị xâm nhập. Xem lại các tệp nhật ký và các quy tắc hộp thư Outlook được liên kết với tài khoản người dùng bị nhiễm để đảm bảo các tình trạng tương tự tiếp theo không xảy ra.

Ban biên tập DSH