พบโทรจัน Emotet เปลี่ยนวิธีการโจมตี หลบโปรแกรมตรวจจับได้

ทีมวิจัยจาก Menlo Security พบว่า โทรจัน Emotet เปลี่ยนวิธีการโจมตีโดยจะส่งไฟล์ XML ในรูปแบบเอกสารของ Word ซึ่งภายในไฟล์นี้จะมีมาโครอยู่ด้วย

ไฟล์ที่ถูกส่งไปนี้ 80% เป็นไฟล์ XML ที่ถูกส่งในรูปแบบไฟล์ .doc ส่วน 20% จะเป็นไฟล์ .doc จริงๆ แต่ภายในจะมี macro อยู่ด้วย สามารถดูรายละเอียดเพิ่มเติมได้ที่ Emotet: A Small Change in Tactics Leads to a Spike in Attacks

Krishnan Subramanian วิศวกรด้านความปลอดภัยจากแล็บ Menlo ได้ทำการตรวจสอบการโจมตีนี้ตั้งแต่กลางเดือนมกราคมพบว่า โดยเฉลี่ยแล้วจะมีผู้ใช้ที่โจมตีด้วยวิธีนี้ 15 คนต่อวัน เป้าหมายของการโจมตีนี้ส่วนใหญ่จะอยู่ที่ สถานพยาบาล

สำหรับโรงพยาบาลหรือสถานที่หมอทำงานพบการโจมตีร้อยละ 32.5, ผู้ผลิตสินค้าอุปโภคบริโภค ร้อยละ 22.5 และบริษัทประกัน 17.5

ตามรายงานของ US-CERT 2018 ระบุว่า โทรจัน Emotet เป็นโทรจันที่ใช้เกี่ยวกับทางการเงิน สามารถหลบหลีกการตรวจจับได้

เช่น เริ่มการทำงานหรือบริการแบบออโต้, ใช้โมดูล Dynamic Link Libraries (DLLs) เพื่อเปลี่ยนข้อมูลที่เกี่ยวข้องหรือทำการอัปเดตความสามารถของตนเอง อีกทั้งยังเป็น Virtual Machine และสร้าง indicator ปลอมขึ้นมาเพื่อทำการรันบน virtual environment

ที่มา: Threat Post และ Bleeping Computer