Emotet กลับมาแพร่กระจาย malspam ทั่วโลก!

นักวิจัยสามารถที่จะเจาะเข้าไปยังช่องโหว่ของ Emotet malware เพื่อทำให้มันหยุดยั้งการทำงานของ malware ตัวนี้และป้องกันการติดเชื้อจากมัน 6 เดือน 

Emotet โผล่ออกมาครั้งแรกในปี 2014 และได้วิวัฒนาการขึ้นมาเรื่อยๆจนเป็น botnet ที่สามารถขโมยข้อมูล Credential หลังจากนั้นก็หายไปตั้งแต่เดือนกุมภาพันธ์จนกระทั่งกลับมาในเดือนสิงหาคม 

พื้นที่สุ่มสำหรับติดตั้ง dll และ exe (%AppdataLocal%, C:\Windows\System32, C:\Windows\Syswow64, based on environment) 

James Quinn ร่วมกับ Binary Defense ออกมาเปิดเผยว่าทำไม เขาถึงพัฒนาตัว killswitch ออกมาเนื่นๆภายในปีนี้, ขนานนามมันว่า “EmoCrash” เป็นตัวทำ buffer overflow ช่องโหว่ของ Emotet บนกระบวนการ installation process 

Killswitch มักใช้โดย defenders สำหรับ disconnect networks จาก internet ภายในช่วงที่เกิด cyberattacks แต่ก็ใช้ได้กับ malware families เดียวกันเพื่อลบมันออกจากระบบ และหยุด process ที่กำลัง running 

Ioc :      <Data>C:\Windows\SysWOW64\sqlsrv32\sqlsrv32.exe</Data> 

<Data>C:\Windows\SysWOW64\ntdll.dll</Data> 

killswitch ทำงานมาตั้งแต่ 6 กุมพาพันธ์ถึง 5 สิงหาคม และไม่นานมานี้มีการปล่อยตัว Emotet’s core loader update ขึ้นมาลบช่องโหว่ registry value code เพื่อจัดการกับ killswitch, และในที่สุด Emotet ได้กลับมาหลังจากที่ให้ไปประมาณ 5 เดือนพร้อมกับ malspam messages 250,000 ข้อความกระจายไปทั่วโลก 

อ้างอิง: https://threatpost.com/emocrash-exploit-emotet-6-months/158414/ 

Share