ブログ

EmotetがGoogleChromeユーザーにinfostealerを感染させる

2022/06/09 セキュリティーニュース
logo

Emotetは現在、潜在的な被害者をGoogleChromeユーザープロファイルからクレジットカード情報を盗むマルウェアに感染させています。 データ(カード所有者の名前と名前、有効期限、番号)を盗んだ後、マルウェアはそれらを情報スティーラーに関係のないサードパーティのC&Cサーバーに送信します。

 

「6月6日、Proofpointの専門家は、E4ボットネットによって提供される新しいEmotetモジュールを発見しました。 驚いたことに、それは銀行カードのデータを盗み、Chromeブラウザのユーザーだけを攻撃し、ブラウザから情報を盗むものであることが判明しました。 収集されたデータは、モジュールローダーが配布されているサーバーとは異なるC&Cサーバーに送信されます」とProofpointThreatInsightsはBleepingComputerに語りました。

 

これは、今年の4月にEmotetアクティビティが増加し、64ビットモジュールに移行した後に発生し始めました。

 

1週間後、マルウェアはLNKファイルを使用してPowerShellコマンドを実行し、攻撃を受けているデバイスに感染し始め、2022年4月初旬からデフォルトで無効にされていたMicrosoftOfficeマクロによる手法を放棄しました。

 

Emotetマルウェアは2014年に作成され、バンキング型トロイの木馬の配布に使用されました。 その後、TA542(Mummy Spider)グループが第2段階のペイロードを配信するために使用するボットネットに進化しました。 さらに、Emotetを使用すると、ユーザーデータを盗んだり、侵害されたネットワークで偵察を行ったり、脆弱なデバイスに移動したりすることができます。

 

Emotetは、侵害されたシステムにQbotおよびTrickbotマルウェアを配信することでも知られています。これらのマルウェアは、CobaltStrikeビーコンやRyukおよびContiランサムウェアなどの追加ソフトウェアの展開に使用されます。

 

2021年の初めに、Emotetインフラストラクチャは法執行活動でオフラインになりました。 ドイツの法執行機関は、ボットネット自体に対してこのインフラストラクチャを使用しました。これにより、感染したシステムにマルウェアを削除するモジュールを配布しました。

 

ボットネットは、既存のTrickBotインフラストラクチャを使用して2021年11月に戻ってきました。