Банковский троян Emotet вернулся и распространяется через спам

image

Теги: Emotet, вредоносное ПО, троян

Зафиксированы случаи массового распространения банковского трояна Emotet по электронной почте.

Исследователи из TrendMicro сообщили о новой вредоносной кампании, в рамках которой злоумышленики распостраняют банковский троян Emotet. Впервые вредоносное ПО Emotet было обнаружено в 2014 году. Затем оно исчезло из поля зрения, но в августе 2017 года была зафиксирована повышенная активность новых разновидностей вредоноса (TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, TSPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV), способных загружать различные типы вредоносных модулей на целевую систему.

В качестве возможных причин возвращения Emotet исследователи называют заинтересованность злоумышленников в новых регионах и отраслях. Хотя предыдущие варианты Emotet были нацелены преимущественно на банковский сектор, в этот раз авторы вредоносного ПО расширили поле деятельности. Злоумышленники атаковали компании из различных отраслей, включая обрабатывающую, пищевую промышленность и область здравоохранения.

Основными целевыми регионами являются США, Великобритания и Канада. При этом в США было зафиксировано 58% всех обнаруженных случаев заражения, на долю Великобритании и Канады пришлось 12% и 8% соответственно.

Троян распостраняется несколькими способами, в основом через спам-рассылку, замаскированную под счета или уведомления о подтверждении оплаты. В теле письма содержится вредоносная ссылка, при переходе по которой загружается документ с вредоносным макросом. После активации макрос исполняет команду Powershell, загружающую троян Emotet.

Оказавшись на системе, Emotet загружает свои копии в системные папки и регистрируется как системная служба. Он также добавляет записи в реестр Windows для обеспечения автоматического исполнения при каждой загрузке системы. Затем вредоносное ПО приступает к сбору информации о системе и данных банковских учетных записей, обновляется до последней версии и загружает дополнительное вредоносное ПО.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

comments powered by Disqus