lans.by

Банковский троян Emotet вернулся и распространяется через спам

Исследователи из TrendMicro сообщили о новой вредоносной кампании, в рамках которой злоумышленники распространяют банковский троян Emotet. Впервые вредоносное ПО Emotet было обнаружено в 2014 году.

Затем оно исчезло из поля зрения, но в августе 2017 года была зафиксирована повышенная активность новых разновидностей вредоноса (TSPY_EMOTET.AUSJLA, TSPY_EMOTET.SMD3, TSPY_EMOTET.AUSJKW, TSPY_EMOTET.AUSJKV), способных загружать различные типы вредоносных модулей на целевую систему.

В качестве возможных причин возвращения Emotet исследователи называют заинтересованность злоумышленников в новых регионах и отраслях. Хотя предыдущие варианты Emotet были нацелены преимущественно на банковский сектор, в этот раз авторы вредоносного ПО расширили поле деятельности. Злоумышленники атаковали компании из различных отраслей, включая обрабатывающую, пищевую промышленность и область здравоохранения.

Основными целевыми регионами являются США, Великобритания и Канада. При этом в США было зафиксировано 58% всех обнаруженных случаев заражения, на долю Великобритании и Канады пришлось 12% и 8% соответственно.

Троян распространяется несколькими способами, в основном через спам-рассылку, замаскированную под счета или уведомления о подтверждении оплаты. В теле письма содержится вредоносная ссылка, при переходе по которой загружается документ с вредоносным макросом. После активации макрос исполняет команду Powershell, загружающую троян Emotet.

Оказавшись на системе, Emotet загружает свои копии в системные папки и регистрируется как системная служба. Он также добавляет записи в реестр Windows для обеспечения автоматического исполнения при каждой загрузке системы. Затем вредоносное ПО приступает к сбору информации о системе и данных банковских учетных записей, обновляется до последней версии и загружает дополнительное вредоносное ПО.

Источник

Leave a Reply

Your email address will not be published. Required fields are marked *