Ранее в этом месяце ботнет Emotet, не подававший «признаков жизни» с февраля 2020 года, вернулся в строй с новой спам-кампанией. ­Понаблюдав за малварью, ИБ-специалисты сообщили, что ботнет сменил основную полезную нагрузку и теперь распространяет банковский троян QakBot (QBot), который пришел на смену обычному для ботнета TrickBot. Хотя работу ботнета пытаются саботировать неизвестные "доброжелатели", подменяя пейлоады фалами GIF, Emotet все же стал одной из самых активных угроз последних недель.

Теперь издание Bleeping Computer, со ссылкой на специалистов Binary Defense, сообщает, что вредонос обзавелся новой функциональностью: начал похищать списки контактов, содержимое и вложения из писем своих жертв, чтобы рассылаемый спам выглядел как можно аутентичнее для следующих получателей. Эту информацию подтвердил известный и ИБ-исследователь Маркус Хатчинс (он же MalwareTech), который отмечает, что модуль для хищения данных появился у Emotet примерно 13 июня текущего года.

Эксперты пишут, что новая тактика позволяет операторам Emotet эффективно использовать перехваченные электронные письма и «включаться» в разговоры пользователей. То есть вредоносный URL-адрес или вложение в итоге будут выглядеть как новые сообщения в уже идущей дискуссии. Причем в отличие от других злоумышленников, операторы Emotet используют не только само «тело» украденных посланий, но и вложения из них, отмечают аналитики компании Cofense.

Теги: CSS