Νέα malware εκστρατεία με θέμα τον COVID-19 διαδίδει το LokiBot trojan

 By Pohackontas 6 Απριλίου 2020, 15:31

Οι ερευνητές ασφαλείας της FortiGuard Labs ανακάλυψαν μια νέα εκστρατεία που εκμεταλλεύεται το ξέσπασμα του Κορωνοϊού COVID-19, αποστέλλοντας emails που υποτίθεται ότι προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας (ΠΟΥ) με στόχο να διαδώσει ένα malware, το LokiBot trojan. Η malware εκστρατεία με θέμα τον COVID-19 αποκαλύφθηκε στις 27 Μαρτίου, όταν οι ερευνητές ανακάλυψαν emails που υποτίθεται ότι προέρχονταν από τον ΠΟΥ με στόχο να ανακοινώσουν τρόπους αντιμετώπισης της παραπληροφόρησης που σχετίζεται με το ξέσπασμα του COVID-19. Τα εν λόγω emails χρησιμοποιούν ένα συνημμένο με τίτλο “COVID_19- WORLD ORGANIZATION HEALTH CDC_DOC.zip.arj”, το οποίο διαδίδει το LokiBot trojan.

Η FortiGuard Labs ανακάλυψε πρόσφατα ένα νέο email με θέμα τον COVID-19 που αποστέλλεται από το [159.69.16 [.] 177], το οποίο χρησιμοποιεί το εμπορικό σήμα του Παγκόσμιου Οργανισμού Υγείας, σε μια προσπάθεια να πείσει τους παραλήπτες για την αυθεντικότητά του. Το email έχει ως τίτλο θέματος “Ασθένεια Κορωνοϊού (COVID-19) Σημαντική ανακοίνωση [.] . 

Περιλαμβάνει επίσης ένα συνημμένο με τίτλο “COVID_19- WORLD ORGANIZATION HEALTH CDC_DOC.zip.arj” που φαίνεται να περιέχει πρόσθετες πληροφορίες, αλλά στην πραγματικότητα είναι παγίδα για να λάβουν οι παραλήπτες το malware. 

Επιπλέον, το email περιέχει πληροφορίες σχετικά με την πανδημία μαζί με προτάσεις και συμβουλές αντιμετώπισης. Είναι γραμμένο στα Αγγλικά, αλλά οι ερευνητές πιστεύουν ότι οι χάκερς που κρύβονται πίσω από αυτή την εκστρατεία δεν είναι αγγλόφωνοι, λαμβάνοντας υπόψη την ορθογραφία, την γραμματική και τα σημεία στίξης που χρησιμοποιούν. Το μήνυμα υποτίθεται ότι προέρχεται από ένα Κέντρο Ελέγχου Ασθενειών του ΠΟΥ. 

Φαίνεται ότι οι χάκερς συνδέουν το όνομα του ΠΟΥ με το Αμερικανικό Κέντρο Ελέγχου Ασθενειών (CDC), παρά το γεγονός ότι οι δύο οργανισμοί είναι ξεχωριστοί. Το συνημμένο “COVID_19- WORLD ORGANIZATION HEALTH ORGANIZATION CDC_DOC.zip.arj” είναι ένα συμπιεσμένο αρχείο σε μορφή ARJ, μία μορφή που πιθανότατα 

χρησιμοποιήθηκε για να αποφευχθεί η ανίχνευση. Κάνοντας κλικ στο συνημμένο και αποσυμπιέζοντας το αρχείο, οι χρήστες θα δουν μια επέκταση “DOC.pdf.exe” αντί για το “Doc.zip.arj”, που τους παροτρύνει  να ανοίξουν το αρχείο.

 .

Μόλις ανοίξει το αρχείο, ξεκινά η έγχυση του LokiBot trojan. Τότε, το malware κλέβει ευαίσθητες πληροφορίες, όπως διάφορα credentials, συμπεριλαμβανομένων των FTP credentials, των αποθηκευμένων κωδικών πρόσβασης email, των κωδικών πρόσβασης που αποθηκεύονται στο πρόγραμμα περιήγησης και άλλα. URL: hxxp: / / bslines [.] Xyz / copy / five / fre.php.


Το LokiBot είναι γνωστό από το 2015. Πρόκειται για ένα malware που έχει χρησιμοποιηθεί σε πολλές malspam εκστρατείες με στόχο να κλέψει credentials από προγράμματα περιήγησης, emails πελατών, εργαλεία διαχείρισης, ενώ έχει χρησιμοποιηθεί επίσης με στόχο κατόχους κρυπτονομισμάτων. Το αρχικό malware LokiBot αναπτύχθηκε και πωλήθηκε μέσω email από έναν χάκερ που εμφανίζεται στο διαδίκτυο με το ψευδώνυμο “lokistov” (γνωστός και ως Carter). Διαφημίστηκε αρχικά σε πολλά hacking φόρουμ, στα οποία πωλούταν έως και 300 δολάρια, ενώ αργότερα άλλοι χάκερς άρχισαν να το προσφέρουν κάτω από 80 δολάρια σε “υποχθόνια” κυβερνοεγκλήματα.

Οι ερευνητές της FortiGuard αποκάλυψαν ότι χρήστες από όλο τον κόσμο έχουν μολυνθεί από την συγκεκριμένη malware εκστρατεία που εκμεταλλεύεται τον COVID-19, οι περισσότεροι εκ των οποίων βρίσκονται στην Τουρκία (29%), την Πορτογαλία (19%), τη Γερμανία (12%), την Αυστρία (10%) και τις ΗΠΑ (10%). Μολύνσεις που σχετίζονται με αυτήν την εκστρατεία εντοπίστηκαν επίσης στο Βέλγιο, το Πουέρτο Ρίκο, την Ιταλία, τον Καναδά και την Ισπανία.

Online banking: Επιθέσεις λόγω κορωνοϊού- Πως να προστατευτείτε;

 By Hack Unamatata 6 Απριλίου 2020, 14:21

Το online banking φαίνεται να έχει μπει στο στόχαστρο των χάκερς, οι οποίοι ψάχνουν τα επόμενα θύματα τους κατά την κρίση του κορωνοϊού.

Η πανδημία του κορωνοϊού, παρόλο που βρίσκεται ακόμα στους πρώτους μήνες της, αναδιαμορφώνει γρήγορα τον τρόπο που οι άνθρωποι σε όλο τον κόσμο ζουν την καθημερινή τους ζωή. Τόσο η κοινωνική απομάκρυνση όσο και οι επικλήσεις να παραμείνετε στο σπίτι για να αποφύγετε περιττές αλληλεπιδράσεις σημαίνουν επανεξέταση του τρόπου προσέγγισης των καθημερινών σας διαδράσεων, συμπεριλαμβανομένης της διαχείρισης των χρημάτων σας.


Εν μέσω της τρέχουσας αβεβαιότητας, οι τράπεζες ενθαρρύνουν τους πελάτες να επωφεληθούν από τις υπηρεσίες online, κινητής τηλεφωνίας και τηλεφωνικής εξυπηρέτησης, αντί για επισκέψεις σε υποκαταστήματα. Μαζί με την υψηλότερη ζήτηση του online banking, αυξάνεται και ο κίνδυνος εγκλημάτων στον κυβερνοχώρο.

Η Ομοσπονδιακή Επιτροπή Εμπορίου έχει εντείνει τις προσπάθειές της για να προειδοποιήσει τους Αμερικανούς για τις απάτες γύρω από τον COVID-19 που αφορούν προσφορές για εμβόλια, ψεύτικες φιλανθρωπικές οργανώσεις, αλλά και παραδοσιακές απάτες ηλεκτρονικού ταχυδρομείου.

Δυστυχώς, σε περιόδους πραγματικής κρίσης αναδεικνύονται τόσο οι άνθρωποι που θέλουν να βοηθούν, όσο και εκείνοι που θα προσπαθήσουν να εκμεταλλευτούν τους ανυποψίαστους. Αν ανησυχείτε για το τι σημαίνει αυτό για την ασφάλεια των online τραπεζικών συναλλαγών σας, υπάρχουν διάφορα βήματα που μπορείτε να ακολουθήσετε για να προστατέψετε τις πληροφορίες σας.

Γνωρίστε τις διαδικασίες ασφαλείας της τράπεζας σας

Το πρώτο βήμα για τη διαφύλαξη του τραπεζικού σας λογαριασμού είναι να μάθετε τι μέτρα διαθέτει η τράπεζα σας για να σας προστατεύσει.

Οι τράπεζες μπορούν να εφαρμόσουν πολλαπλά επίπεδα ασφάλειας για τo online banking, όπως:
Κρυπτογράφηση Secure Socket Layer (SSL)
Αυτόματη αποσύνδεση
Προγραμματισμός προστασίας από ιούς και κακόβουλο λογισμικό
Firewalls
Επαλήθευση πολλών παραγόντων
Τεχνολογία αναγνώρισης βιομετρικών στοιχείων και / ή προσώπου

Όλα αυτά μπορούν να λειτουργήσουν ως ισχυρή άμυνα εναντίον των χάκερ που μπορεί να προσπαθήσουν να σπάσουν τους λογαριασμούς σας. Αν δεν είστε βέβαιοι για το τι κάνει η τράπεζά σας για να διατηρήσει ασφαλή τα online τραπεζικά σας στοιχεία κατά των απειλών, ελέγξτε πρώτα τον ιστότοπο ή την εφαρμογή για κινητά. Αν δεν είναι άμεσα σαφές, μη διστάσετε να επικοινωνήσετε με την τράπεζά σας για να δείτε τι μέτρρα ασφαλείας υπάρχουν.

Αποφύγετε τη χρήση του δημόσιου Wi-Fi για να αποκτήσετε πρόσβαση στο online banking σας

Η απομακρυσμένη εργασία και η εκμάθηση γίνονται όλο και περισσότερο μέρος της νέας εποχής για πολλά άτομα και οικογένειες εν μέσω της κρίσης του COVID-19. Σε μια προσπάθεια να εξασφαλίσουν πως όλοι όσοι θέλουν μπορούν να έχουν πρόσβαση στο διαδίκτυο, ορισμένοι πάροχοι υπηρεσιών διαδικτύου έχουν δημιουργήσει, τουλάχιστον σε προσωρινή βάση, δωρεάν hotspot Wi-Fi.

Παρόλο που αυτό είναι βολική, η χρήση του δημόσιου Wi-Fi μπορεί να θέσει σε κίνδυνο τις τραπεζικές σας πληροφορίες, εάν η σύνδεση δεν είναι ασφαλής. Το δημόσιο Wi-Fi μπορεί εύκολα να χτυπηθεί με πολλούς τρόπους, συμπεριλαμβανομένων των επιθέσεων “man-in-the-middle“, στις οποίες ένας απατεώνας είναι σε θέση να τραβήξει ουσιαστικά τις τραπεζικές σας πληροφορίες.

Καλό είναι να αποφεύγετε τα δημόσια Wi-Fi και να βασίζεστε στην ασφαλή πρόσβαση στο διαδίκτυο από το σπίτι. Ωστόσο, εάν για οποιονδήποτε λόγο χρησιμοποιείτε δημόσιο Wi-Fi αυτές τις μέρες, βεβαιωθείτε ότι η σύνδεση είναι ασφαλής πριν συνδεθείτε σε οποιαδήποτε online τραπεζική συναλλαγή.

Ενημερώστε τους κωδικούς πρόσβασης σας στο online banking

Αυτός είναι ένας απλός τρόπος για να προστατεύσετε τα στοιχεία των τραπεζικών σας συναλλαγών σας ανά πάσα στιγμή, αλλά μπορεί να είναι ιδιαίτερα σημαντικός κατά τη διάρκεια της τρέχουσας κρίσης του κοροναϊού.

Εάν δεν έχετε ενημερώσει πρόσφατα τους κωδικούς πρόσβασής σας, προσθέστε το στη λίστα σας. Και θυμηθείτε να κάνετε τους κωδικούς σας όσο το δυνατόν πιο μοναδικούς. Αυτές οι συμβουλές μπορούν να βοηθήσουν:
Δημιουργήστε κωδικούς πρόσβασης χρησιμοποιώντας έναν συνδυασμό γραμμάτων, αριθμών και συμβόλων.
Μην υποθέτετε ότι αλλάζοντας ένα γράμμα ή ένα ψηφίο ενός παλιού κωδικού είναι αρκετό.
Κάντε χρήση μια φράσης ή ακρωνύμιου αντί για μια λέξη.

Επίσης, σκεφτείτε τη χρήση ενός διαχειριστή κωδικών πρόσβασης αν δυσκολευτείτε να θυμηθείτε τους κωδικούς πρόσβασης στους τραπεζικούς λογαριασμούς σας. Δημιουργήστε μια συνήθεια να ενημερώσετε τους κωδικούς πρόσβασης σας κάθε τρεις έως τέσσερις μήνες.

Παρακολούθηση δραστηριότητας με τραπεζικές ειδοποιήσεις

Οι τραπεζικές ειδοποιήσεις μπορούν να είναι ένα χρήσιμο εργαλείο για τη διαχείριση της ασφάλειας στο διαδίκτυο, ειδικά αν δεν έχετε χρόνο να συνδέεστε στον τραπεζικό σας λογαριασμό καθημερινά.

Με τις τραπεζικές ειδοποιήσεις του online banking, μπορείτε να λάβετε ειδοποίηση μέσω ηλεκτρονικού ταχυδρομείου ή κειμένου όταν υπάρχει νέα δραστηριότητα στους λογαριασμούς σας. Οι τύποι ειδοποιήσεων που μπορείτε να ορίσετε περιλαμβάνουν:
Ειδοποιήσεις συναλλαγών για χρεώσεις και πιστώσεις πάνω από ένα ποσό που καθορίζετε
Αποτυχημένες προσπάθειες σύνδεσης
Ενημέρωση κωδικού πρόσβασης ή προσωπικών πληροφοριών
Οικονομικές συναλλαγές
Καθημερινή παρακολούθηση λογαριασμού

Η ενεργοποίηση ειδοποιήσεων σημαίνει ότι δεν χρειάζεται να ανησυχείτε συνεχώς για το αν οι πληροφορίες σας σχετικά με τις τραπεζικές συναλλαγές σας βρίσκονται σε κίνδυνο. Αν για παράδειγμα, λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου που σας ειδοποιεί για μια νέα συναλλαγή, μπορείτε να συνδεθείτε για να επαληθεύσετε ότι είναι κάτι που εξουσιοδοτήσατε.

Να είστε προσεκτικοί σχετικά με τη χορήγηση πρόσβασης στον λογαριασμό σας

Οι οικονομικές εφαρμογές μπορούν να διευκολύνουν τη διαχείριση των χρημάτων κατά τη διάρκεια μιας πανδημίας. Για παράδειγμα, αντί να κάνετε ανάληψη μετρητών στο ΑΤΜ για να εξοφλήσετε έναν φίλο, μπορείτε να χρησιμοποιήσετε μια εφαρμογή πληρωμής από για να πληρώσετε ηλεκτρονικά.

Η παγίδα είναι ότι πολλές οικονομικές εφαρμογές απαιτούν πρόσβαση στις σας τραπεζικές πληροφορίες. Αυτός είναι ο τρόπος με τον οποίο λειτουργούν πολλές εφαρμογές διαχείρισης budget. Συγχρονίζετε τους τραπεζικούς λογαριασμούς σας και η εφαρμογή παρακολουθεί αυτόματα τις δαπάνες και τις καταθέσεις σας.

Αυτό μπορεί να διευκολύνει την σας ζωή κατά την κρίση του κοροναϊού, αλλά θα μπορούσε να θέσει σε κίνδυνο τις πληροφορίες σας εάν εξουσιοδοτείτε την πρόσβαση για εφαρμογές που δεν είναι ασφαλείς. Παρόλο που η τράπεζά σας μπορεί να είναι απόλυτα ασφαλής και να λαμβάνει μέτρα για την εξασφάλιση των ηλεκτρονικών σας πληροφοριών, η εφαρμογή πληρωμής ή shopping που χρησιμοποιείτε μπορεί να αποτελέσει στόχο για επίδοξους χάκερς.

Μην πέσετε θύμα σε απάτες ηλεκτρονικού “ψαρέματος”

Κατά τη διάρκεια μιας κρίσης, οι απάτες ηλεκτρονικού ταχυδρομείου, τηλεφώνου και ηλεκτρονικού ψαρέματος συχνά αφθονούν. Για παράδειγμα, έχει ήδη εντοπιστεί μία απάτη phishing που περιλαμβάνει ψεύτικα email που φαίνεται να προέρχονται από τον Παγκόσμιο Οργανισμό Υγείας.

Οι απάτες ηλεκτρονικού “ψαρέματος” μπορούν να έχουν διαφορετικούς στόχους. Κάποιοι, όπως η απάτη του Π.Ο.Υ., προσπαθούν να σας κάνουν να κάνετε κλικ σε έναν σύνδεσμο μέσα στο σώμα κειμένου του email. Όταν κάνετε κλικ στο σύνδεσμο, μπορείτε να κατεβάσετε εν αγνοία σας κακόβουλο λογισμικό ή λογισμικό παρακολούθησης της συσκευής σας, το οποίο επιτρέπει στους απατεώνες να κλέψουν τις πληροφορίες σας.

Άλλες απάτες μπορούν να έχουν μια πιο άμεση προσέγγιση για να προσπαθήσουν να πάρουν στα χρήματά σας. Για παράδειγμα, μπορείτε να λάβετε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή ένα κείμενο από μια φαινομενικά φιλανθρωπική οργάνωση που ζητάει δωρεές. Σας ζητείται να δώσετε τον αριθμό της χρεωστικής σας κάρτας ή τον αριθμό του τραπεζικού σας λογαριασμού για να κάνετε μια δωρεά.

Μια άλλη κοινή τακτική που χρησιμοποιούν οι απατεώνες για phishing, είναι η αποστολή email από μια διεύθυνση που με την πρώτη ματιά φαίνεται ότι ήρθε από την τράπεζά σας. Και ενώ υποθέτετε ότι είναι ασφαλές να κάνετε κλικ σε ένα σύνδεσμο ή να απαντήσετε με τις πληροφορίες που ζητούνται στο email, αποδεικνύεται ότι μοιραστήκατε τα στοιχεία σας με έναν scammer.

How Just Visiting A Site Could Have Hacked Your iPhone or MacBook Camera

April 02, 2020Ravie Lakshmanan
 

If you use Apple iPhone or MacBook, here we have a piece of alarming news for you.

Turns out merely visiting a website — not just malicious but also legitimate sites unknowingly loading malicious ads as well — using Safari browser could have let remote attackers secretly access your device's camera, microphone, or location, and in some cases, saved passwords as well.

Apple recently paid a $75,000 bounty reward to an ethical hacker, Ryan Pickren, who practically demonstrated the hack and helped the company patch a total of seven new vulnerabilities before any real attacker could take advantage of them.

The fixes were issued in a series of updates to Safari spanning versions 13.0.5 (released January 28, 2020) and Safari 13.1 (published March 24, 2020).


"If the malicious website wanted camera access, all it had to do was masquerade as a trusted video-conferencing website such as Skype or Zoom," Pickren said.

When chained together, three of the reported Safari flaws could have allowed malicious sites to impersonate any legit site a victim trusts and access camera or microphone by abusing the permissions that were otherwise explicitly granted by the victim to the trusted domain only.


An Exploit Chain to Abuse Safari's Per-Site Permissions
Safari browser grants access to certain permissions such as camera, microphone, location, and more on a per-website basis. This makes it easy for individual websites, say Skype, to access the camera without asking for the user's permission every time the app is launched.

But there are exceptions to this rule on iOS. While third-party apps must require user's explicit consent to access the camera, Safari can access the camera or the photo gallery without any permission prompts.

Specifically, improper access is made possible by leveraging an exploit chain that stringed together multiple flaws in the way the browser parsed URL schemes and handled the security settings on a per-website basis. This method only works with websites that are currently open.



"A more important observation was that the URL's scheme is completely ignored," Pickren noted. "This is problematic because some schemes don't contain a meaningful hostname at all, such as file:, javascript:, or data:."

Put another way, Safari failed to check if the websites adhered to the same-origin policy, thereby granting access to a different site that shouldn't have obtained permissions in the first place. As a result, a website such as "https://example.com" and its malicious counterpart "fake://example.com" could end up having the same permissions.

Thus, by taking advantage of Safari's lazy hostname parsing, it was possible to use a "file:" URI (e.g., file:///path/to/file/index.html) to fool the browser into changing the domain name using JavaScript.


"Safari thinks we are on skype.com, and I can load some evil JavaScript. Camera, Microphone, and Screen Sharing are all compromised when you open my local HTML file," Pickren said.

The research found that even plaintext passwords can be stolen this way as Safari uses the same approach to detect websites on which password auto-fill needs to be applied.

Furthermore, auto-download preventions can be bypassed by first opening a trusted site as a pop-up, and subsequently using it to download a malicious file.

Likewise, a "blob:" URI (e.g. blob://skype.com) can be exploited to run arbitrary JavaScript code, using it to directly access the victim's webcam without permission.

In all, the research uncovered seven different zero-day vulnerabilities in Safari —



CVE-2020-3852: A URL scheme may be incorrectly ignored when determining multimedia permission for a website
CVE-2020-3864: A DOM object context may not have had a unique security origin
CVE-2020-3865: A top-level DOM object context may have incorrectly been considered secure
CVE-2020-3885: A file URL may be incorrectly processed
CVE-2020-3887: A download's origin may be incorrectly associated
CVE-2020-9784: A malicious iframe may use another website's download settings
CVE-2020-9787: A URL scheme containing dash (-) and period (.) adjacent to each other is incorrectly ignored when determining multimedia permission for a website

If you are a Safari user, it's recommended that you keep the browser up-to-date and ensure websites are granted access to only those settings which are essential for them to function.

New Coronavirus-Themed Malware Locks You Out of Windows, but there's a simple fix

By Lawrence Abrams April 2, 2020 04:46 PM 2



With school closed due to the Coronavirus pandemic, some kids are creating malware to keep themselves occupied. Such is the case with a variety of new MBRLocker variants being released, including one with a Coronavirus theme.

MBRLockers are programs that replace the 'master boot record' of a computer so that it prevents the operating system from starting and displays a ransom note or other message instead.

Some MBRLockers such as Petya and GoldenEye also encrypt the table that contains the partition information for your drives, thus making it impossible to access your files or rebuild the MBR without entering a code or paying a ransom.
Petya Ransomware
First MBRLocker with a Coronavirus theme

Last week, MalwareHunterTeam discovered the installer for a new malware with the name of "Coronavirus" being distributed as the COVID-19.exe file.



When installed, the malware will extract numerous files to a folder under %Temp% and then executes a batch file named Coronavirus.bat. This batch file will move the extracted files to a C:\COVID-19 folder, configure various programs to start automatically on login, and then restart Windows.
Coronavirus.bat file

After Windows is restarted, a picture of the Coronavirus will be displayed along with a message stating "coronavirus has infected your PC!"
The Coronavirus image shown after the first reboot

Analysis by both SonicWall and Avast states that another program will also be executed that backs up the boot drive's Master Boot Record (MBR) to another location and then replaces it with a custom MBR.
MBR being backed up and overwritten
Source: SonicWall

On reboot, the custom Master Boot Record will display a message stating "Your Computer Has Been Trashed" and Windows will not start.
MBRLock lock screen

Thankfully, the analysis by Avast shows that a bypass has been added to the custom MBR code that allows you to restore your original Master Boot Record so that you can boot normally. This can be done by pressing the CTRL+ALT+ESC keys at the same time.

Further research by BleepingComputer has discovered another variant from the same developer called 'RedMist'. When installed, instead of showing the Coronavirus image, it shows an image of Squidward stating "Squidward is watching you".

Like the Coronavirus version, this variant will warn you that after rebooting you will not be able to gain access to Windows again.
Squidward/RedMist version

This variant also supports the CTRL+ALT+ESC bypass so that you can restore the original MBR.

It should be noted that these infections do not delete your data or destroy the partition table. Simply restoring the MBR from the backup location will allow you to start Windows and access your data again.
A steady stream of MBRLockers being made

BleepingComputer has been able to find numerous MBRLocker variants being released over the past week using different messages, memes, and inside jokes,

All of these MBRLocker variants are being made with a publicly available tool that was released on YouTube and Discord. BleepingComputer will not be publishing the name of the tool to prevent further variants from being released.

Below is a small sample of the various MBRLockers released this week and created using this utility.












BleepingComputer believes that all of these MBRLockers are being created for 'fun' or as part of 'pranks' to be played on people.

While it is not known if they are being distributed maliciously, users should still be especially careful of running any programs shared by other people, especially on Discord, without first scanning them using VirusTotal.

Microsoft: Emotet Took Down a Network by Overheating All Computers

By Sergiu Gatlan April 3, 2020 03:25 PM 0



Microsoft says that an Emotet infection was able to take down an organization's entire network by maxing out CPUs on Windows devices and bringing its Internet connection down to a crawl after one employee was tricked to open a phishing email attachment.

"After a phishing email delivered Emotet, a polymorphic virus that propagates via network shares and legacy protocols, the virus shut down the organization’s core services," DART said.

"The virus avoided detection by antivirus solutions through regular updates from an attacker-controlled command-and-control (C2) infrastructure, and spread through the company’s systems, causing network outages and shutting down essential services for nearly a week."
All systems down within a week

The Emotet payload was delivered and executed on the systems of Fabrikam — a fake name Microsoft gave the victim in their case study — five days after the employee's user credentials were exfiltrated to the attacker's command and control (C&C) server.

Before this, the threat actors used the stolen credentials to deliver phishing emails to other Fabrikam employees, as well as to their external contacts, with more and more systems getting infected and downloading additional malware payloads.

The malware further spread through the network without raising any red flags by stealing admin account credentials authenticating itself on new systems, later used as stepping stones to compromise other devices.

Within 8 days since that first booby-trapped attachment was opened, Fabrikam's entire network was brought to its knees despite the IT department's efforts, with PCs overheating, freezing, and rebooting because of blue screens, and Internet connections slowing down to a crawl because of Emotet devouring all the bandwidth.
Emotet attack flow (Microsoft DART)

"When the last of their machines overheated, Fabrikam knew the problem had officially spun out of control. 'We want to stop this hemorrhaging,' an official would later say," DART's case study report reads.

"He’d been told the organization had an extensive system to prevent cyberattacks, but this new virus evaded all their firewalls and antivirus software. Now, as they watched their computers blue-screen one by one, they didn’t have any idea what to do next."

Based on what the official said following the incident, although not officially confirmed, the attack described by Microsoft's Detection and Response Team (DART) matches a malware attack that impacted the city of Allentown, Pennsylvania in February 2018, as ZDNet first noticed.

At the time, Mayor Ed Pawlowski said that the city had to pay nearly $1 million to Microsoft to clean out their systems, with an initial $185,000 emergency-response fee to contain the malware and up to $900,000 in additional recovery costs, as first reported by The Morning Call.
Emotet infection aftermath and containment procedures

"Officials announced that the virus threatened all of Fabrikam’s systems, even its 185-surveillance camera network," DART's report says.

"Its finance department couldn’t complete any external banking transactions, and partner organizations couldn’t access any databases controlled by Fabrikam. It was chaos.

"They couldn’t tell whether an external cyberattack from a hacker caused the shutdown or if they were dealing with an internal virus. It would have helped if they could have even accessed their network accounts.

"Emotet consumed the network’s bandwidth until using it for anything became practically impossible. Even emails couldn’t wriggle through."

Microsoft's DART — a remote team and one that would deal with the attack on site — was called in eight days after the first device on Fabrikam's network was compromised.

DART contained the Emotet infection using asset controls and buffer zones designed to isolate assets with admin privileges.

They eventually were able to completely eradicate the Emotet infection after uploading new antivirus signatures and deploying Microsoft Defender ATP and Azure ATP trials to detect and remove the malware.

Microsoft recommends using email filtering tools to automatically detect and stop phishing emails that spread the Emotet infection, as well as the adoption of multi-factor authentication (MFA) to stop the attackers from taking advantage of stolen credentials.
Emotet infection chain (CISA)
Emotet infections can lead to severe outcomes

Emotet, originally spotted as a banking Trojan in 2014, has evolved into a malware loader used by threat actors to install other malware families including but not limited to the Trickbot banking Trojan (a known vector used in the delivery of Ryuk ransomware payloads).

Emotet was recently upgraded with a Wi-Fi worm module designed to help it spread to new victims via nearby insecure wireless networks.

Recently, in January 2020, the Cybersecurity and Infrastructure Security Agency (CISA) warned government and private organizations, as well as home users, of increasing activity around targeted Emotet attacks.

In November 2019, the Australian Signals Directorate’s Australian Cyber Security Centre (ACSC) also warned of the dangers behind Emotet attacks, saying at the time that the malware "provides an attacker with a foothold in a network from which additional attacks can be performed, often leading to further compromise through the deployment of ransomware."

Emotet ranked first in a 'Top 10 most prevalent threats' ranking published by interactive malware analysis platform Any.Run at the end of December 2019, with triple the number of sample uploads submitted for analysis when compared to the next malware in the top, the Agent Tesla info-stealer.

CISA provides general best practices to limit the effect of Emotet attacks and to contain network infections within an Emotet Malware alert published two years ago and updated earlier this year.