Emotet Botnet กลับมาเริ่มโจมตีอีกครั้ง

Emotet Botnet กลับมาเริ่มโจมตีอีกครั้ง หลังจากหยุดไปนานกว่า 5 เดือน

Credit: solarseven/ShutterStock.com

Emotet เป็นมัลแวร์ที่พยายามกระจายตัวผ่านทาง Phishing Campaign ด้วยการส่งไฟล์ Excel หรือ Word ให้ผู้ใช้งานเปิดอ่าน โดยจะทำการเข้าสู่เครื่องเป้าหมายผ่านทางการเปิดใช้งาน Macro หลังจากนั้นจะฝังตัวอยู่ในเครื่องเพื่อค้นหาไฟล์และอีเมลเพื่อใช้ในการส่งสแปมเมลต่อไป หรือแม้กระทั่งติดตั้งแรนซัมแวร์ลงในเครื่องของเหยื่อ

ล่าสุดผู้เชี่ยวชาญทางด้านความปลอดภัยตรวจพบการเคลื่อนไหวของ Emotet อีกครั้ง หลังจากที่หยุดการโจมตีไปกว่า 5 เดือน มีการเริ่มส่งสแปมเมลกระจายออกไปทั่วโลก พร้อมแนบไฟล์ Excel และตั้งชื่อไฟล์ในหลายรูปแบบ เช่น Invoice, Scan และ Electronic Form เพื่อหลอกล่อให้เหยื่อเปิดไฟล์ หลังจากนั้นจะแสดงวิธีการปิด Microsoft Protect View ให้เหยื่อทำตาม และหากเปิดไฟล์สำเร็จ จะทำการใช้งาน Macro เพื่อดาวน์โหลดไฟล์ DLL มาติดตั้งและทำงานภายในเครื่อง โดยจะรอรับคำสั่งจาก Command and Control Server เพื่อใช้ในการโจมตีต่อไป

ผู้ใช้งานจึงควรเพิ่มความระมัดระวังในการเปิดอ่านอีเมลหรือดาวน์โหลดไฟล์จากแหล่งต่างๆ ที่ผ่านมา Emotet ถูกใช้เป็นช่องทางในการติดตั้ง TrickBot malware และ Cobalt Strike beacons รวมถึงเป็นช่องทางให้ Ryuk และ Conti Ransomware ทำการโจมตี

ที่มา: https://www.bleepingcomputer.com/news/security/emotet-botnet-starts-blasting-malware-again-after-5-month-break/

About เด็กฝึกงาน TechTalkThai หมายเลข 1

นักเขียนผู้มีความสนใจใน Enterprise IT ด้วยประสบการณ์กว่า 10 ปีในไทย ปัจจุบันใช้ชีวิตอยู่ที่ Cupertino, CA แต่ยังคงมุ่งมั่นในการแบ่งปันความรู้และประสบการณ์ด้านเทคโนโลยีให้กับทุกคน

Check Also

ผู้เชี่ยวชาญเตือนพบช่องโหว่ Zero-day กระทบผู้ใช้ Zyxel หลายรุ่น เสี่ยงต่อการถูกโจมตี

มีการค้นพบช่องโหว่ Zero-day ในผลิตภัณฑ์ Zyxel หลายรุ่น ซึ่งพบการโจมตีจริงแล้ว แแต่ที่ผู้เชี่ยวชาญแสดงความเป็นห่วงงเพราะทาง Vendor ยืนยันว่าผลิตภัณฑ์เหล่านั้นหมดอายุไปแล้วและจะไม่มีการแพตช์ ทำให้ผู้ใช้งานอาจเป็นเป้านิ่งสำหรับ Botnet หรือ การโจมตีทางไซเบอร์

CISA พบบั๊ก Microsoft Outlook เพื่อโจมตี RCE ระบาดหนัก แนะเร่งอัปเดต

CISA ได้แจ้งเตือนหน่วยงานรัฐบาลกลางสหรัฐเพื่อให้ป้องกันระบบไอทีจากช่องโหว่ภายใน Microsoft Outlook ที่พบตั้งแต่ปีที่แล้วซึ่งอาจนำไปสู่การโจมตี Remote Code Execution (RCE) ได้นั้นกำลังระบาดหนัก แนะนำให้เร่งอัปเดตโดยเร่งด่วน