Один из наиболее активных ботнетов 2019 года, Emotet, не подавал почти никаких «признаков жизни» с февраля текущего года. Теперь же ИБ-эксперты предупредили, что Emotet вернулся в строй с новой спам-кампанией. ­

Emotet появился еще в 2014 году и сейчас, это одна из наиболее активных угроз среди вредоносных программ. Малварь распространяется преимущественно с почтовым спамом, через вредоносные документы Office. Такие письма могут маскироваться под инвойсы, накладные, предупреждения о безопасности аккаунта, приглашения на вечеринку и даже под информацию о распространении коронавируса. Словом, хакеры внимательно следят за мировыми трендами и постоянно совершенствуют свои приманки.

Хотя когда-то Emotet начинал свой пусть как классический банковский троян, сейчас угроза сильно видоизменилась, превратившись в мощный загрузчик, а ее операторы стали активно сотрудничать с другим преступными группами.

Сегодня Emotet поставляется с множеством модулей, которые позволяют малвари распространяться внутри сети. Весной текущего года ИБ-специалисты обнаружили, что для бокового перемещения Emotet даже может действовать как Wi-Fi червь.

Проникнув в систему жертвы, Emotet использует зараженную машину для дальнейшей рассылки спама, а также устанавливает на устройство самую разную дополнительную малварь. Зачастую это банкеры, такие как Trickbot (который ворует учетные данные, cookie, историю браузера, ключи SSH и так далее), майнеры, инфостилеры, а также шифровальщики, вроде Ryuk.

Возвращение Emotet в конце прошлой недели зафиксировали специалисты CSIS, Microsoft, Malwarebytes, Abuse.ch, Spamhaus, а также группа независимых исследователей Cryptolaemus, уже несколько лет внимательно следящая за активностью ботнета.

Эксперты пишут, что новая спам-кампания нацелена преимущественно на пользователей из США и Великобритании, а письма-приманки написаны на английском языке. Послания злоумышленников содержат либо документы Word, либо URL-адреса, ведущие к загрузке таких файлов (обычно размещающихся на взломанных сайтах на базе WordPress). Подобные документы опасны из-за вредоносных макросов, которые (если они включены), в итоге приводят к загрузке и установке Emotet.

Исследователи отмечают, что вместе с уже известными шаблонами в Word-приманках используется и новый шаблон, который сообщает пользователю, что документ якобы нельзя открыть обычным способом, так как тот был создан в iOS.

По данным специалистов, в ходе новой кампании уже было отправлено более 250 000 таких писем.

Нужно отметить, что это не первый длительный перерыв в работе Emotet. В прошлом году ботнет бездействовал около четырех месяцев, но потом все же возобновил работу.

Теги: CSS