فيرس جديد من عائلة Win32/Emotet يستهدف الاعتمادات البنكية وذلك بواسطة رسائل بريد مزيفة. هذه الرسائل تحتوي على معلومات احتيالية مثل، فاتورة موبايل مزيفة، أو فواتير أخرى من البنك الذي تتعامل معه أو PayPal.

منذ بداية نوفمبر 2014 ونحن نراقب النوع الجديد من Trojan:Win32/Emotet.C، وهذا النوع كان جزء من حملة سبام سابقة والتي وصلت ذورتها في شهر نوفمبر. ونظرا لقياساتنا فإن هذه الحملة تستهدف في المقام الأول المتحدثين باللغة الألمانية بالإضافة إلى مواقع الانترنت الخاصة بالبنوك.

والشكل التالي يعرض إحصائية للإصابات حسب الدولة

infections by countryشكل يوضح الإصابات حسب الدولة

وكما تشير الصورة ، فإن رسائل البريد المزيفة كتبت باللغة الألمانية وتحتوي على رابط لموقع خطير.

صورة توضح الرسالة المزيفة والتي تحتوي على رابط موقع لتحميل الـ Emotet.

Spam email

وترجمة الرسالة السابقة

الإيداع الخاص بك

تم إلغاء حسابك قبل أن نتمكن من إتمام عملية التسجيل مع البنك. للمزيد من التفاصيل متاحة على: الإيداع الخاص بك

مع خالص تحياتنا، فريق Volksbank.

اللينك الموجود بالرسالة يقوم بتوجيهك إلى موقع انترنت، وعندها يتم تحميل ملف مضغوط ZIP، يحتوي على ملف تنفيذي يحمل اسم كبير وذلك لإخفاء الامتداد الخاص بالملف .exe ويكون على سبيل المثال كاتالي:

de_0000239029_rechnung_scan_hp_28_0000000904_page_2_10_01_05_id_00291002098.exe
E-Card_zu_Weichnachten_scan_foto_2834792347_12_2014_21093812_000129_001_004_002910.exe
Informationen_Kontobewegung_dezember_2014_de_20_8139_237_90109238_000129_000028_05.exe

الملف أيضا يكون على شكل أيقونة لملف من نوع PDF كما بالشكل. وذلك حتى تطمئن لفتح الملف

PDF icon

وبمجرد تشغيل، Trojan:Win32/Emotet.C يقوم بمراقبة نشاط الشبكة لسرقة البيانات الخاصة بالاعتمادات البنكية، كما يقوم بتسجيل البيانات التي يتم تنفيذها على أي مسار مشابه للمسارات التالية:ـ

/ach//nubi/
/wire/
/wires/
banking.bank1saar.de
banking.berliner-bank.de
banking.flessabank.de
banking.gecapital.de
banking.gecapital.de
banking.sparda.de
commerzbank.de
commerzbank.de
de/portal/portal
finanzportal.fiducia.de
kunde.comdirect.de
meine.norisbank.de
ptlweb/WebPortal
raiffeisen.at
telekom.de
vodafone.de
wellsfargo.com

الأجهزة المصابة بـ Win32/Emotet يمكن سرقة حسابات البريد الإلكتروني وكلمات المرور الخاصة بالبرامج التالية:ـ

Eudora
Gmail Notifier
Google Desktop
Google Talk
Group Mail
IncrediMail
Mozilla Thunderbird
MSN or Windows Live Messenger
Netscape 6 and Netscape 7
Outlook 2000, Outlook 2002, and Outlook Express
Windows Mail and Windows Live Mail
Yahoo! Messenge