Защитный сервис McAfee поставил пользователей под угрозу заражения банковским трояном

Защитный сервис McAfee поставил пользователей под угрозу заражения банковским трояном

Через связанный с сервисом McAfee ClickProtect домен распространялся банковский троян Emotet.

ИБ-компания McAfee заблокировала доступ к вредоносному ПО, распространявшемуся, как оказалось, из сети самой компании. Вредонос содержался на стороннем сайте, но распространялся через домен, связанный с сервисом McAfee ClickProtect. По иронии судьбы сервис предназначен для защиты пользователей электронной почты от фишинговых писем и ссылок, распространяющих вредоносное ПО.

Вредоносную ссылку обнаружил французский исследователь безопасности, использующий псевдоним Benkow. Эксперт нашел и опубликовал содержащий ссылку аналитический отчет о вредоносном ПО. Ссылка перенаправляла пользователей через домен cp.mcafee.com на вредоносный документ Word, после загрузки и открытия которого на систему жертвы загружался банковский троян Emotet. Загрузка вредоноса начиналась, когда пользователь разрешал активировать макросы.

После установки троян собирал с зараженной системы пароли и отправлял их на свой C&C-сервер. По словам ИБ-эксперта Маркуса Хатчинса (Marcus Hutchins), вредонос подключается к C&C-серверу с помощью вшитых IP-адресов, но для обхода обнаружения использует прокси.

Вредонос, впервые обнаруженный в 2014 году, снова вернулся в сентябре текущего года. Как ранее сообщал SecurityLab, исследователи из Trend Micro зафиксировали новую кампанию по распространению Emotet. Основным вектором заражения являются фишинговые письма, замаскированные под счета и уведомления об оплате.

Каким образом появилась ссылка, по ошибке или была создана хакерами, неизвестно. Причины возвращения Emotet также остаются загадкой.


Телевизоры следят за нами, шпионы поколения Джеймса Бонда страдают от новых технологий, а неудачный пост в Whatsapp десятилетней давности может привести к тюремному сроку в нашем новом Youtube выпуске.