Троян Emotet перехватывает передаваемые через HTTPS данные

Новый банковский троян Emotet перехватывает данные, передаваемые через защищенные соединения.

Как следует из блога компании Trend Micro, в наибольшей опасности находятся пользователи из Германии, однако некоторые жертвы также находились в Европе, на Ближнем Востоке и в Африке. Подверженными опасности являются и жители Южной и Северной Америки.

Некоторые версии вредоноса, жертвами которых становятся немецкие пользователи, распространяются под видом поддельных уведомлений о банковских переводах и отгрузочных накладных. Электронные письма содержат ссылки, пройдя по которым, потенциальные жертвы запускают скачивание Emotet.

После установки на систему вирус соединяется с C&C-сервером, с которого скачивает дополнительные файлы, в том числе конфигурационный файл, содержащий информацию о банках-жертвах.

Кроме того, вирус загружает на зараженную систему файл с расширением .DLL, который встраивается во все процессы. При его помощи злоумышленники отслеживают и фиксируют весь исходящий трафик.

Вредоносное ПО также способно подключаться к ряду сетевых API-интерфейсов, благодаря чему злоумышленники могут перехватывать данные, отправляемые через HTTPS:

Для хранения похищенной и зашифрованной информации Emotet использует элементы реестра. Это позволяет вирусу на некоторое время скрыть свое существование от антивирусных программ.