นักวิจัยด้านความปลอดภัย Kryptos Logic Jamie Hankins ได้พบโทรจันที่ชื่อว่า Emotet เวอร์ชั่นใหม่ ทำให้ Hacker สามารถทำให้เครื่องของเหยื่อติดมัลแวร์ และสามารถเข้าถึงเนื้อหาอีเมลของผู้ใช้ได้
โทรจันนี้จะเก็บข้อมูลอีเมลทุกๆ โฟลเดอร์ย่อยในโฟลเดอร์ interpersonal message (IPM) และใช้พื้นที่เพียง 16 KB หรือ 16384 ตัวอักษร โดยข้อความในอีเมลทั้งหมดจะถูกส่งไปที่เซิร์ฟเวอร์ C2 (command and control)
ภาพ: โมดูลอีเมล Emotet ที่ใช้ขโมยข้อความมีขนาด 16KB
ภาพจาก: Bleeping Computer
ภาพ: ข้อมูลอีเมลที่ถูกขโมยโดย Emotet
ภาพจาก: Bleeping Computer
จากภาพด้านล่าง Hacker จะใช้สแปมเมลเพื่อกระจายโทรจัน Emotet แต่ปลั๊กอินที่ใช้ขโมยอีเมลยังไม่ได้ใส่รวมลงไปด้วยในตอนแรก เมื่อมัลแวร์ถูกติดตั้งบนเครื่องผู้ใช้แล้วจะดาวน์โหลดโมดูลอีเมลจากเซิร์ฟเวอร์ C2 ที่มีโทรจัน Emotet จากนั้นจะทำการเปิดใช้งานโทรจันบนเครื่องผู้ใช้ เมื่ออีเมลได้รับการสแกนแล้ว เนื้อหาจะถูกเก็บไว้ใน temporary file การดำเนินทั้งหมดจะเสร็จสินภายใน 300 วินาที จากนั้นจะทำการยกเลิกและอ่านไฟล์จาก temporary file โดยไฟล์ที่จะถูกส่งไป C2 เซิร์ฟเวอร์นั้นจะมีไฟล์อย่างน้อย 116 ไบต์
ภาพจาก: Bleeping Computer
นักวิจัยด้านความมั่นคง Joseph Roosen ได้ทำการสังเกตโทรจันนี้ในช่วงต้นเดือนตุลาคมที่ผ่านมานี้พบว่า ได้มีการหยุดส่งสแปมเมลเมื่อวันที่ 5 ตุลาคม หลังจากนั้นอีก 2 วันต่อมา สแปมเมลที่ถูกส่งมาและ payloads (Action ต่างๆ ที่พวก malware ใช้โจมตีเครื่องคอมพิวเตอร์ทำให้เครื่องคอมพิวเตอร์นั้นติดไวรัส) ก็ไม่ได้รับการอัปเดตอีก
ซึ่งสอดคล้องกับความเห็นของ Jamie Hankins ที่กล่าวว่า “การโจมตีด้วยโทรจันนี้ยังคงมีอยู่ตลอดเวลา…จากนั้นก็จะหายไปสักพัก”
นักวิจัยคาดว่าอาจมีผู้ใช้หลายคนได้รับผลกระทบจากโทรจันนี้ ซึ่งตอนนี้ยังไม่ทราบจำนวนผู้ที่ติดเชื้อมัลแวร์นี้ แต่ Joseph Roosen คาดการณ์ว่าอาจจะการสร้างมีโมดูลใหม่ๆ ซึ่งอาจทำให้ผู้ใช้ติดเชื้อใหม่นี้ได้อีก
ที่มา Bleeping Computer