Emotet может загружать 16 дополнительных модуле, используемых Emotet для кражи учетных данных/паролей/аккаунтов/электронной почты и рассылки спама.
Модули Emotet
Модуль Mail PassView
Модуль содержит встроенный исполняемый файл под названием Mail PassView от Nir Sofer, инструмент для восстановления паролей, который позволяет узнать пароли и данные учетных записей для различных почтовых клиентов. Чтобы запустить инструмент для восстановления пароля, выполните действия, которые позволяют узнать пароли и данные учетных записей для различных почтовых клиентов.
Модуль WebBrowser PassView
Этот модуль в основном такой же, как и предыдущий, за исключением того, что в нем используется инструмент для восстановления паролей WebBrowser PassView Nir Sofer для раскрытия паролей и данных учетных записей в браузерах.
Модуль Outlook Address Grabber
Модуль эксфильтрации данных для Outlook. Модуль использует интерфейс Outlook Messaging API, итеративно просматривает профили Outlook и извлекает все отображаемые имена и почтовые адреса из каждого найденного письма. Затем он отправляет собранные почтовые адреса в C2.
Модуль Outlook E-mails Grabber
Модуль эксфильтрации данных для Outlook. Модуль использует интерфейс Outlook Messaging API, итеративно просматривает все личные папки (Inbox, Sent items, Deleted Items и т.д.), извлекает все отображаемые имена и почтовые адреса отправителя и получателя, а также извлекает тему и тело письма. Затем он отправляет собранные электронные письма на C2.
Модуль Thunderbird Address Grabber
Модуль эксфильтрации данных для Thunderbird. Модуль просматривает профили Thunderbird, расположенные в %AppData%\Roaming\Thunderbird\Profiles\, анализирует файлы данных Thunderbird и извлекает отображаемые имена и почтовые адреса. Затем он отправляет собранные адреса электронной почты в C2.
Модуль Thunderbird E-mails Grabber
Модуль эксфильтрации данных для Thunderbird. Модуль перебирает профили Thunderbird, расположенные в %AppData%\Roaming\Thunderbird\Profiles\, анализирует файлы данных Thunderbird и извлекает отображаемые имена и почтовые адреса отправителя и получателя, а также извлекает тему и тело письма. Затем он отправляет собранные сообщения электронной почты на C2.
Модуль рассылки спама
Этот модуль отвечает за рассылку спама. Он запрашивает C2 до тех пор, пока не получит ответ с заданием на рассылку спама.
Модуль UPnP
Вспомогательный модуль для проверки возможности подключения к зараженной системе извне.
Indicators of Compromise
IPv4 and port
- 70.36.102.35:443
- 197.242.150.244:8080
- 188.44.20.25:443
- 45.118.135.203:7080
- 92.240.254.110:8080
- 103.43.46.182:443
- 1.234.2.232:8080
- 50.116.54.215:443
- 51.91.76.89:8080
- 206.188.212.92:8080
- 153.126.146.25:7080
- 178.79.147.66:8080
- 217.182.25.250:8080
- 196.218.30.83:443
- 51.91.7.5:8080
- 72.15.201.15:8080
- 119.193.124.41:7080
- 5.9.116.246:8080
- 151.106.112.196:8080
- 101.50.0.91:8080
- 45.142.114.231:8080
- 185.157.82.211:8080
- 46.55.222.11:443
- 103.75.201.2:443
- 176.56.128.118:443
- 176.104.106.96:8080
- 107.182.225.142:8080
- 31.24.158.56:8080
- 51.254.140.238:7080
- 159.65.88.10:8080
- 82.165.152.127:8080
- 146.59.226.45:443
- 173.212.193.249:8080
- 212.24.98.99:8080
- 212.237.17.99:8080
- 110.232.117.186:8080
- 131.100.24.231:80
- 209.250.246.206:443
- 195.201.151.129:8080
- 138.185.72.26:8080